INTERNET FIREWALL

BASTION HOST

-Introduzione e concetti base.

Argomenti trattati:

-Varie configurazioni.

- Software di realizzazione.

Cosa vuol dire proteggere una rete?

Schermarla da una rete esterna.

Impedire che utenti non autorizzati possano usufruire di dati particolari (sensitive data).

Utenti legittimi usino in modo "trasparente" tali insiemi di dati e tutte le altre risorse di rete.

Intro:

Firewall host critico per la sicurezza di una rete.

Ben fortificato e l'accesso diretto a tale host deve essere massimamente controllato.

Interfaccia tra la rete interna e quella esterna.

Soggetto di attacchi dall'esterno.

Primo ed unico punto di contatto tra privato e pubblico dominio.

=>

=>

Intro: Definizione di Bastion Host

Intro:

Compiti del Bastion Host:

• Proteggere una generica sottorete filtrando i pacchetti

• Fornire servizi.

Fasi iniziali di progettazione:

• Scegliere una macchina.

• Scegliere il sistema operativo.

• Scelta dell’Hardware.

• Scegliere la locazione.

Aspetti Architetturali generali:

• Unico calcolatore della nostra rete raggiungibile da Internet

• Host estremamente protetto

• Sistema operativo sicuro (hardened o addirittura trusted)

• Rimozione software non necessario

• Rimozione compilatori

• Read-only file system

• Process checker

Aspetti Architetturali generali:

• Numero minimo di servizi

• Nessun account utente

• Salvataggio e controllo del log

• Eliminazione dei servizi non fidati

Dopo una prima linea di difesa tra la rete esterna e quella interna.

La prima linea di difesa può essere rappresentata da uno screening router opportunamente configurato secondo la politica di sicurezza scelta.

Tutti i pacchetti che ottengono il permesso di accesso alla rete interna devono essere diretti verso il bastion host.

Collocazione tipica: Screened host

Screened host:

Attacco della rete privata

dal filtraggio dello screening router.

dai controlli effettuati dal Bastion Host.

Screened host:

Eseguendo un ulteriore controllo sugli header dei pacchetti.

Il Bastion Host usa le funzioni del livello di applicazione:

Per capire se il pacchetto puo’ essere inoltrato o no, come:

Screened host:

Screened host:

Screening Router:

Ha la capacità di schermare i pacchetti dipendentemente dal tipo di protocollo, dall'indirizzo della sorgente e della destinazione e dai campi di controllo presenti nei pacchetti.

Facendo un confronto con il modello di stratificazione OSI, si vede che il dispositivo lavora a livello di rete ed a livello di trasporto

Screening Router:

Visto che per l'OSI i Router lavorano fino a livello di rete sono anche chiamati PACKET-FILTER GATEWAY.

Ogni scheda di rete è collegata ad un segmento di rete differente.

Nelle reti TCP/IP il termine multi-homed host indica un host che ha più di una scheda di rete.

Configurazione: Dual-Homed Host:

Dual-Homed Host:

Attivita’ svolta:

Instrada il traffico tra le varie reti effettuando la cosiddetta operazione di routing.

Router: si indica un dispositivo che agisce fino al terzo livello diriferimento OSI (livello di rete) con la funzione di instradare i pacchetti di rete. Gateway: ha la stessa funzione però opera fino al settimo livello di riferimento OSI (livello applicativo).

Precisazione:

Dual-Homed Host:

Funzione di instradamento (routing function):

Attivata

Disattivata dual-homed host effettua un vero e proprio isolamento tra i due segmenti di rete, ma puo’:

-Rendere sue applicazioni condivisibili tra le due reti. -Condividere dati se le applicazioni lo consentono.

Dual-Homed Host:

Configurazione: Bastion Host e DMZ (Demilitarized Zone)

Si ottiene ponendo dopo lo screening router un dual-homed host con entrambe le interfacce di rete configurate e collegate a due segmenti distinti di rete.

DMZ non contiene alcun host al suo interno, può essere anche costituita fisicamente da una linea dedicata point-to-point adottando anche un protocollo a se stante che aumenti le difficoltà di penetrazione da parte di un intrusore esterno.

Bastion Host e DMZ

Bastion Host e DMZ

Svantaggi:

Vantaggi:

Un host può essere collegato alla DMZ in modo promiscuo e vedere tutti i pacchetti che fluiscono attraverso tale rete.

Anche se le tavole di filtraggio dello screening router vengono variate da un intrusore, il bastion host non viene bypassato trovandosi in serie al router ed a monte della rete da proteggere.

Bastion Host e DMZs

Come si ottiene DMZs:

-Ponendo due bastion host in serie con entrambe le interfacce di rete configurate

-Collegate a segmenti di rete distinti, ottenendo due DMZ.

- La seconda può essere utilizzata come una rete ultraprivata, la quale risulta schermata sia da intrusori esterni che da operatori interni.

Bastion Host e DMZ

Un compromesso tra sicurezza e comunicabilità può essere:

Ponendo sulla prima DMZ un host contenente pubbliche informazioni ma che risulta così esposto più facilmente ad attacchi esterni.

Le configurazioni possibili ed adatte al particolare caso sono praticamente infinite……..

Configurazione: Macchina Vittima:

Vengono fatti girare servizi difficilmente implementabili in modo sicuro o che utilizzano nuovi programmi che potrebbero contenere dei bug.

Su questa macchina:

Deve essere:

Isolata dalla rete interna.

Macchina Vittima:

Unico compito:

Far girare il servizio insicuro.

In tal modo, se anche un attaccante riuscisse a loggarsi su essa, i danni che potrebbe provocare rimarrebbero limitati alla victim machine ed i privilegi che avrebbe a disposizione sarebbero minimi

Configurazione: Screened Subnet:

Viene creata una vera e propria rete isolata tra quella esterna e quella interna.

Gli host appartenenti ad entrambe le reti possono accedervi ma non è ammesso alcun flusso diretto di dati tra la rete interna e quella esterna.

Screened Subnet (1):

Screened Subnet (2):

Screened Subnet:

La rete isolata prende nome di Screened Subnet o sottorete schermanta.

Spesso contiene almeno due application-level gateway (trattati successivamente) che svolgono la funzione di bastion host pur conservando l'accesso interattivo ai servizi resi condivisibili ad entrambe le reti.

Screened Subnet:

L'unico punto di accesso alla sottorete e’ l'application-level gateway.

Risulta molto difficoltoso da parte di un intrusore bypassare l'intera sottorete, in quanto dovrebbe riconfigurare la stessa sottorete ed anche quella interna; tutto ciò eludendo la sorveglianza dei bastion host ………..

Configurazione: Application-Level Gateways:

Sono dispositivi programmati per analizzare il traffico di rete al livello applicativo.

Ogni applicazione protetta dall'application-level-gateway viene identificata da questo attraverso un codice univoco; per questo si garantisce un alto livello di sicurezza ma per ogni applicazione è necessario un codice differente.

Application-Level Gateways:

Application-Level Gateways:

Il Client:

Il Server(Proxy):

Si trova a colloquiare con l'application-level gateway che effettua un operazione di server.

Opera come un client inoltrando le richieste al server vero e proprio

Conclusioni:

Per concludere questa carrellata sulle varie configurazioni è utile soffermarsi ancora una volta su di una considerazione:

L’application-level gateway come il bastion host ed il dual-homed host rimangono esposti ad attacchi esterni se non propriamente protetti da uno screening router prima della connessione con la rete esterna.

Esempi Implementativi:

Esempi:

- TCP Wrapper

- TIS Gauntlet

- TIS Firewall Toolkit

TCP Wrapper:

E’ un software per il controllo di accesso per un sistema Unix;

opera due funzioni fondamentali:

-Registra le richieste per Internet effettuate tramite il file /etc/inetd.conf.

- Fornisce un meccanismo di controllo di accesso ai servizi.

l programma TCP-Wrapper è disponibile alla seguente URL:

ftp://cert.sei.cnu.edu/pub/network_tools/

oppure

ftp://ftp.win.tue.nl/pub/security/

TCP Wrapper:

TIS Gauntlet:

Gauntlet è un software prodotto dalla T.I.S.

(Trusted Information System)

Utilizza BSD (Berkeley Software Design) Unix e viene preinstallato insieme al sistema operativo

Una parte del S.O. viene riconfigurato e modificato per consentire identificazione e registrazione di alcuni dati di rete durante le connessioni.

TIS Gauntlet:

La filosofia di funzionamento di Gauntlet consiste nel considerare inizialmente tutti i sistemi, a parte il Gauntlet stesso, come possibili sistemi-intruso (untrusted);

Nelle configurazione è prevista ovviamente la capacità di testare un sistema e valutarne la nocività.

Di conseguenza un sistema innocuo viene a far parte dei sistemi cosiddetti "trusted"

TIS Gauntlet:

TIS Firewall Toolkit:

A differenza del Gauntlet che è un prodotto commerciale, il Firewall Toolkit è disponibile interamente su rete con un FTP anonimo a:

FTP Server: ftp://FTP.TIS.COM.

Quello che viene trasferito è un file compresso.

TIS Firewall Toolkit:

La filosofia di funzionamento del TIS è modulare; partendo da una configurazione minima di sicurezza esiste la possibilità di aumentare la sicurezza aggiungendo moduli successivi.

"http://www.tis.com/...." FINE……