PON 2004 - Reti di Calcolatori FW - 1 FIREWALL - Argomenti Perchè “Internet Firewall”? Servizi...

PON 2004 - Reti di Calcolatori FW - 1

FIREWALL - Argomenti

• Perchè “Internet Firewall”?• Servizi Internet• Strategie di difesa• Progettazione di firewall• Bastion Hosts• Packet Filtering• Sistemi Proxy• VPN


Perchè “Internet Firewall”?

• Internet è una comunità in continua crescita• Si è passati da una popolazione prettamente

scientifica e di ricerca ad una “mista”• Una popolazione statisticamente rappresentativa

dell’intera umanità• C’è sempre chi sfrutta l’altrui fatica a proprio

esclusivo vantaggio, indipendentemente dalle conseguenze!!


Cosa tentiamo di proteggere

• DATI le cui caratteristiche sono:

– segretezza

– integrità

– disponibilità

• RISORSE come ad esempio:

– spazio su disco

– tempo di CPU

– ampiezza di banda della rete

– servizi altrimenti a pagamento

• REPUTAZIONE


Contro cosa cerchiamo di proteggerci• TIPI DI ATTACCO

– intrusione– DoS (Deny of Service)– furto di informazioni

• TIPI DI ATTACCANTI– joyriders– vandali– score-keeper– spie (industriali o altro!)– pirati (e bucanieri, filibustieri, corsari…)

• STUPIDITA’ ED INCIDENTI – rappresentano oltre il 55% dei casi


Come ci si può proteggere?

• Nessuna sicurezza aggiuntiva ()• Security Through Obscurity ()• Host Security• Network Security• Nessun modello di sicurezza può risolvere tutti i

problemi!


Cosa è un “firewall”?

• Costringe ad entrare attraverso un punto ben controllato• Impedisce (?!) agli attaccanti di avvicinarsi troppo alle altre difese• Costringe ad uscire attraverso un punto ben controllato• Nella terminologia militare : Check-Point!

Firewall

Rete interna


Cosa può fare un firewall?

• E’ un punto focale per le decisioni inerenti la sicurezza

• Può potenziare le politiche di sicurezza• Può tener traccia (log) delle attività da e verso

Internet in modo efficiente• Limita l’esposizione all’esterno della rete


…e cosa NO!

• NON PUO’ PROTEGGERE DA MALINTENZIONATI INTERNI

• NON PUO’ PROTEGGERE DA QUELLO CHE NON CI PASSA ATTRAVERSO

• NON PUO’ PROTEGGERE DA MINACCE COMPLETAMENTE NUOVE

• NON PUO’ PROTEGGERE DAI VIRUS E SIMILI


Servizi Internet

• Sono molti• Molti sono utili

MA...

Sono tutti potenzialmente pericolosi!Sono tutti potenzialmente pericolosi!


E-mail

• Permette lo scambio di messaggi asincroni (in parole povere le buone, vecchie lettere)

• Vi sono molti protocolli per il suo utilizzo:– SMTP (Simple Mail Transfer Protocol)

– POP (Postal Office Protocol)

– IMAP (Interactive Mail Access Protocol)

– MIME (Multimedia Internet Mail Extension)


File Transfer

• Permette di copiare o trasferire su una rete i documenti da un computer ad un altro

• Anche qui, tanti protocolli– FTP (File Transfer Protocol)

– TFTP (Trivial File Transfer Protocol)

– FSP (File Service Protocol)

– UUCP (Unix to Unix CoPy)


Remote Terminal Access & Command Execution

• Permettono di accedere interattivamente ad un computer remoto o di eseguire su un computer remoto dei particolari comandi– Telnet

– rlogin

– rsh


UseNet NEWS

• L’equivalente elettronico delle bacheche o del cinesissimo “ta-tse-bao” contrapposto, come flusso, all’e-mail– NNTP (Network News Transfer Protocol)


World Wide Web

• E’ una delle parole-chiave della nostra epoca: WWW (che potrebbe anche voler dire Wilde West World, sotto certi aspetti )– HTTP

– E-mail

– FTP

– …e tanti altri che si aggiungono ogni giorno!


Altri servizi…

• Gopher – è il “nonno” del web!

• WAIS (Wide Area Information Service) – l’antenato più prossimo di Google (per tacer di

Altavista!)


Informazioni sulle persone

• Fortunatamente non esiste ancora una vera e propria “directory” di tutti gli utenti Internet però, in piccolo…– finger : permette di accedere alle informazioni utente

contenute su un singolo computer

– whois : permette di accedere alle informazioni per persone e società contenute in database del NIC (Network Information Center)


Servizi di conferenza Real-Time

• Sono servizi che permettono lo scambio, anche multimediale, di messaggi in tempo reale come chat, teleconferenza, videoconferenza…– Talk

– IRC

– ICQ

– MBONE

– ….


Name Service

• E’ il servizio distribuito che permette di associare ad indirizzi numerici Internet (come 193.206.23.180), dei cosiddetti “nomi a dominio” (il fatidico www.marscenter.it), tra le altre cose!– DNS

– SUN NIS/YP


Network Management Systems

• Servizi che, almeno in teoria, dovrebbero servire per aiutare i gestori di reti a farle funzionare al meglio, ma…c’è sempre il lato oscuro della Forza!– Ping

– traceroute

– ICMP (Internet Control Message Protocol)

– SNMP (Simple Network Management Protocol)


Time Service

• Permette il sincronismo dell’orologio di un computer con uno di riferimento, anche remoto

• E’ un servizio molto importante per una corretta implementazione della sicurezza (timestamp)– NTP (Network Time Protocol)

– GPS (Global Positioning System)


Network File Systems

• Sono servizi che permettono di condividere tra più computer il file-system di uno o più di loro– NFS (Network File System)

– AFS (Carnegie Mellon University Andrew File System)

– CIFS (non è del “mondo UNIX” ma usa TCP/IP! È il Common Internet File System di M$-Window$)


Window Systems

• Forniscono servizi di interfacciamento grafico a finestre (da cui il nome). Decisamente da molto più tempo che non M$, ma questa è un’altra storia…– X11

• E’ una “bestia nera” della sicurezza. Tra le tante “nefandezze”:– può permettere il “dump” dello schermo– può “leggere” i caratteri inseriti da tastiera– e…ORRORE!!!…può inserire caratteri come se fossero

stati inseriti dall’utente reale dalla sua tastiera!!


Printing Systems

• Permettono di utilizzare stampanti collegate ad altri computer o altre reti– SysV lp

– BSD lpr


Strategie di difesa

• Privilegi minimi (least privilege)• Difesa in profondità (defense in depth)• Punto di strozzatura (choke point)• L’anello più debole (weakest link)• Fail safe stance• Partecipazione universale• Diversificazione della difesa• Semplicità


Privileggi minimi – least privilege

• Ogni oggetto (utente, amministratore, programma, sistema, ecc…) dovrebbe avere solo i privileggi necessari e sufficienti al suo compito…ma non di più!

• Molti dei problemi relativi alla sicurezza derivano dalla non applicazione di questa regola

• Non è, comunque, sempre di facile applicazione, specialmente per quanto riguarda gli utenti


Difesa in profondità – defense in depth

• Non dipendere da un solo meccanismo di sicurezza, per quanto forte possa sembrare

• Nel caso di failure di tale singolo sistema, tutto il sito può essere compromesso!!!


Punto di strozzatura – choke point

• Un choke point forza gli attaccanti ad utilizzare un “canale” di accesso stretto e facilmente controllabile come:– una porta di controllo in aeroporto

– il portone di un castello

• ATTENZIONE ALLE PORTE DI “SERVIZIO”!


L’anello più debole – weakest link

• Ricordarsi sempre che “la catena è forte quanto il suo anello più debole”

• In altre parole: non sottovalutare nessun componente della “catena di sicurezza”

• ATTENZIONE ALLE “PARANOIE”!– Valutate sempre il rapporto rischio/pericolo


Fail safe stance

• Be’, questo stabilisce che se si deve fallire, lo si deve fare in…tutta sicurezza!

• Due princìpi fondamentali sono:– Default Deny Stance: tutto ciò che non è esplicitamente

permesso E’ VIETATO

– Default Permit Stance: tutto ciò che non è esplicitamente vietato E’ PERMESSO


Partecipazione universale

• E’ un concetto un po’ controverso…ma io appoggio la scuola di pensiero del coinvolgimento

• Rendere partecipi gli utenti alle problematiche di sicurezza• I primi alleati devono essere quelli che

proteggete • Ma…come ottenere la partecipazione?

– Convincendoli che è una buona idea (e un po’ di psicologia non guasta)

– obbligandoli con regole aziendali e con leggi– la “giusta via di mezzo”


Diversificazione della difesa

• Variante “orizzontale” della defense in depth

• Utilizzare dispositivi provenienti da produttori diversi per limitare le probabilità di problemi comuni

• Usare persone diverse per la configurazione dei vari dispositivi per limitare la condivisione di problemi concettuali

MA…

• Ha un forte impatto in termini di costo e di gestione


Semplicità

• E’ strategico per due motivi:– Tenere le cose semplici le rende più facili da capire ed è

più semplice trovare un problema (e ce ne sarà sempre almeno uno in qualunque fase di implementazione!)

– La complessità aiuta a nascondere moooolte trappole


Alcune definizioni (I)

• Firewall: un componente o un insieme di componenti che restringono l’accesso tra Internet e una rete protetta o tra altri insiemi di reti

• Host: un qualunque computer connesso in rete• Bastion-Host: un computer che deve essere

altamente protetto poichè è esposto alla rete esterna ed è il punto principale di contatto per gli utenti della rete interna


Alcune definizioni (II)

• Dual-Homed host: un computer che possiede almeno due interfacce di rete

• Packet: l’unità fondamentale di comunicazione su Internet

• Packet Filtering: l’azione che compie un dispositivo per controllare selettivamente il flusso di dati da e per la rete. Viene anche conosciuto come “screening” e di solito avviene su un router, un bridge o un host


Alcune definizioni (III)

• Perimeter Network: una rete aggiunta tra una rete protetta e la rete esterna, per fornire un ulteriore livello di sicurezza. Spesso chiamata DMZ (De Militarized Zone)

• Proxy Server: un programma che contatta server esterni in rappresentanza di client interni. I proxy client dialogano con il proxy server i quali rigirano le richieste ai server reali e rigirano le loro risposte ai client


Alcune definizioni (IV)

Screening Router

- Packet filtering con uno screening router -


Alcune definizioni (V)

- Proxy Services con un dual homed host -

Dual homed host Proxy Server

Firewall

Proxy Client

Real Server


Architetture (I)

• Dual homed host– Computer con 2 o più interfacce di rete

– Nessuna funzione di routing!

– Fornisce servizi tramite proxy

Dual homed host

Firewall


Architetture (II)

• Screened host– Un host collegato alla rete interna (bastion-host)– Uno screening router

host

Screening RouterFirewall


Architetture (III)

• Screened subnet– Aggiunge sicurezza all’architettura screened host con

l’aggiunta di una DMZ

– Due screened router connessi

alla DMZ• uno verso la rete esterna

• uno verso la rete interna

– Un Bastion Host sulla DMZ

Exterior router (Access router)

Interior router(Choke router)

Bastion Host

DMZ

Internal Network

Firewall


Variazioni sul tema (I)

• Bastion Host multipli: OK• Interior/Exterior router coincidenti: OK

Exterior /Interior router

Bastion Host

DMZ

Internal Network

Firewall


Variazioni sul tema (II)

• Bastion Host/Exterior router coincidenti: OK– screened subnet!

Bastion Host/Exterior router

DMZ

Internal Network

Firewall

Interior router


Variazioni sul tema (III)

• Interior router multipli:

Exterior router

Interior router

Bastion Host

DMZ

Internal Network

Firewall


Variazioni sul tema (IV)

• Bastion Host e Interior router coincidenti:– screened host!

Exterior router

DMZ

Internal Network

Firewall

Interior router/ Bastion Host


Variazioni sul tema (V)

• Exterior router multipli: OK

Exterior router

Interior router

Bastion Host

DMZ

Internal Network

Firewall

Exterior router


Variazioni sul tema (VI)

• DMZ multiple: OK

Exterior router

Interior router

Bastion Host

DMZ

Internal Network

Firewall

Exterior router

Interior router

Bastion Host

DMZ

Firewall


• Il Bastion Host è il sistema che “rappresenta una azienda/società su Internet

• Difatti, dovrebbe essere l’unico punto di contatto tra il mondo esterno e quello interno

• Per questo motivo, nella sua progettazione, deve essere fatto ogni sforzo per renderlo sicuro

L’HOST PIU’ FORTIFICATOil termine deriva, appunto, da “bastione”:

“fortificazione isolata o unita alla cinta muraria per difesa di luoghi contro i nemici”

Bastion Host


Princìpi generali (I)

• Sono due i princìpi generali nella costruzione di un bastion host:– RENDERLO SEMPLICE: più è semplice, più è facile

renderlo sicuro

– BISOGNA ESSERE, COMUNQUE, PREPARATI AD UNA SUA COMPROMISSIONE: difatti, nonostante gli sforzi fatti per renderlo sicuro, può sempre accadere il peggio (Murphy docet) ed è anche logico, visto che è in “prima linea”


Princìpi generali (II)

• Non bisogna partire dal presupposto che è inattaccabile (vedi Titanic o Linea Maginot!!)

• Fare tutto il possibile perchè non sia facilemte attaccabile, ma chiedersi sempre “E se…”

• In genere, non fidarsi completamente di ciò che proviene dal bastion host!


Tipi…speciali (I) (bastion host con particolari caratteristiche)

• Non routing dual-homed host:– ha almeno due interfacce di rete ma non fa passare

traffico IP tra loro

– può essere esso stesso un firewall o far parte di un firewall più complesso

– se è l’unico firewall…SIATE PARANOICI!


Tipi…speciali (II) (bastion host con particolari caratteristiche)

• Victim machine (sacrificial goat):– mette a disposizione servizi difficili da

offrire in modo sicuro o così recenti che ancora non se ne conoscono le implicazioni sulla sicurezza

– non contiene niente di importante e non è collegata in alcun modo a macchine “più appetitose”

– è…sacrificabile


Tipi…speciali (III) (bastion host con particolari caratteristiche)

• Internal bastion host:– sono server interni che hanno interazioni speciali con il

bastion host principale• e-mail server interno

• name server interno

• ecc…


La scelta della macchina!

• Decidere quale hardware e software utilizzare per costruire il bastion host è un passo importante (e c’era da dubitarne??)

• Bisogna tener in mente che il bastion host dovrà essere:– AFFIDABILE

– SUPPORTABILE

– CONFIGURABILE


Il Sistema Operativo

• Un S.O. con il quale si abbia confidenza• Che sia architetturalmente affidabile• Che offra i servizi Internet che si vogliono fornire

agli utenti• Che offra tool di facile reperibilità per la

costruzione e gestione del bastion host• In altre parole…UNIX (o simili) potrebbe essere

l’unica risposta ;-)


Quanto veloce deve essere?

• Non c’è bisogno di super-processori, anzi! Un Pentium© II/III (con Linux© ) è più che sufficiente

• Ma questo dipende dalla “velocità” del collegamento al mondo esterno, dal “traffico”

• A mali estremi…più bastion host possono risolvere il problema a costi decisamente più contenuti

• Inoltre:

– una macchina “lenta” è un obiettivo meno invitante

– se compromessa, è meno utile per attaccare altri siti


Quale configurazione HW?• Il bastion host deve essere affidabile e quindi meglio non affidarsi agli

ultimi ritrovati• Il lavoro del bastion host è principalmente concentrato nella memoria

grandi quantità di RAM e spazio su disco per swap space• Dischi capienti (specialmente se il bastion host fornirà servizi di

caching) ma non necessariamente ad alta velocità• Ipotizzare l’utilizzo di un supporto non riscrivibile come “disco di

sistema”• Una unità di backup locale (nastro, masterizzatore…)• Un CD-ROM (per installazione, checksum database…), anche esterno• Facilità di aggiungere/togliere hard disk• Nessuna capacità grafica! Un buon vecchio terminale ASCII va

benissimo


La locazione fisica

• Deve essere posto in un luogo sicuro (c’era bisogno di dirlo??)– accesso ristretto/controllato al luogo

– UPS (Uninterruptable Power Supply)

– riparato da danni ambientali (acqua, caldo, umido…)


La locazione su rete

• Su una rete che non veicoli traffico confidenziale (che ne pensate di…DMZ??)

• Se proprio non è possibile, si può posizionarlo su un hub intelligente, uno switch… ma bisogna aver cura che nessuno si fidi troppo del bastion host.

• Unendo le due tecniche (DMZ su una rete gestita da uno switch) si ottiene quanto di più vicino alla perfezione ;-)


I servizi forniti dal bastion host

• Solo ed esclusivamente i servizi che si vogliono offrire all’interno o all’esterno

• Si possono dividere i servizi in 4 classi:– Servizi Sicuri: i servizi in questa categoria possono essere forniti

via packet-filtering. In una configurazione proxy-firewall pura, però, tutto deve essere fornito dal bastion host o non fornita affatto

– Servizi insicuri ma che possono essere resi sicuri: questi sono servizi che possono essere forniti dal bastion host

– Servizi insicuri che non possono essere resi sicuri: questi dovranno essere disabilitati o, al più, forniti da un victim host

– Servizi non usati o che non si usano congiuntamente ad Internet: questi servizi devono essere assolutamente disabilitati


Non permettere account utenti sul bastion host

• Vulnerabilità degli account stessi• Vulnerabilità dei servizi richiesti per supportare gli

account• Riduzione della stabilità ed affidabilità• Inavvertita sovversione della sicurezza del bastion

host da parte degli utenti• Aumento della difficoltà nell’accorgersi di attacchi


Costruire il bastion host

• Finora abbiamo “solo” fatto lavoro a tavolino…ora dobbiamo rimboccarci le maniche!– Porre la macchina fuori dalla rete e installare la base

– Disabilitare tutti i servizi non richiesti

– Installare o modificare i servizi che si vogliono fornire

– Riconfigurare la macchina dallo stato “sviluppo” allo stato “produzione”

– Eseguire un security audit per stabilire una base di comprarazione

– Connettere il bastion host alla rete


E ora…FIATO ALLE TROMBE!

• Una volta configurato e reso operativo il bastion host, parte un periodo di assidua oservazione per assicurarsi che tutto proceda come progettato– Farsi un’idea chiara del normale profilo d’utilizzo per

poter scoprire le anomalie• Quanti job alla volta sono in esecuzione?

• Quanto tempo di CPU questi job impiegano relativamente tra loro?

• Qual è il carico tipico ad ore diverse della giornata?

– Automatizzare il monitoraggio


Proteggere la macchina

• Ora il bastion host è attivo ed è un elemento vitale della rete (e dell’azienda) e va adeguatamente, a sua volta, protetto – Sospettare dei reboot o dei crash (oh, be’, solo se avete

seguito il suggerimento nella slide “Il Sistema Operativo” ;-) )

– Effettuare backup ad ogni cambio di configurazione e conservarlo in un luogo (ufff!!!) sicuro

– Un ulteriore meccanismo può essere quello di utilizzare un database di digest/checksum di tutti i file del sistema


Packet Filtering Introduzione (I)

• Un meccanismo di sicurezza di rete che controlla quali dati possono transitare su una rete

• Nel “linguaggio” IP, questi dati sono chiamati “pacchetti”. Tutti gli scambi di informazioni su reti IP avvengono in forma di pacchetti


Packet Filtering Introduzione (II)

• Il dispositivo che permette l’interconnessione di reti è il router

• E’ il router a prendere le decisioni di percorso per ogni pacchetto utilizzando i protocolli di routing e basandosi su alcune informazioni contenute nel pacchetto stesso– Indirizzo di provenienza

– Indirizzo di destinazione

– (urgh!!!) IP options

192.168.10.1/10.10.1.1

10.10.1.0/24


Packet Filtering Introduzione (III)

• Mentre il router si chiede solo “Come posso far procedere questo pacchetto?”, il Packet-Filter si chiede anche “Devo far procedere questo pacchetto?” basandosi su regole programmate


Perchè “Packet Filtering”? (I)

• Il packet filtering permette di controllare il passaggio (permesso/negato) di dati basandosi su:– l’indirizzo (presunto) da cui provengono i dati– l’indirizzo verso cui i dati sono indirizzati– i protocolli di sessione e di applicazione utilizzati– l’interfaccia sulla quale i dati si presentano

• Alcuni - detti “stateful inspection” - si basano anche su alcuni dati contenuti nei pacchetti e altri “campi” contenuti nell’header del protocollo utilizzato


Perchè “Packet Filtering”? (II)

• Di solito il Packet Filtering si applica ai router in quanto– choke point

– vi sono sicuramente meno router che host

• Un packet filtering router (o anche “screening router”) è, sicuramente, il primo baluardo per la protezione perimetrale della rete.


Vantaggi del packet filtering

• Un solo screening router può aiutare a proteggere un’intera rete

• Il packet filtering non richiede cooperazione: è trasparente all’utente

• E’ ampiamente disponibile su molti router


Svantaggi del packet filtering(the Dark Side…)

• Gli attuali tool di filtraggio non sono perfetti:– le regole (rules) sono difficili da configurare (a

volte il linguaggio è criptico, solo per iniziati)– una volta configurate, sono difficili da provare– nessuna standardizzazione tra i vari prodotti

• Alcuni protocolli non sono appropriati per il packet-filtering

• Alcune politiche non possono essere rafforzate da normali screening router


Cosa tener in mente quando si configura un packet filtering

• I protocolli sono, solitamente, bidirezionali• Attenzione alla semantica di “inbound” e

“outbound”: si deve pensare in termini di pacchetti e non di servizi

• “Default Deny” vs “Default Permit”


Cosa farci con i pacchetti?

• Farli passare se soddisfano le condizioni (come farebbe un normale router)

• Scartarli se non soddisfano le condizioni (cosa che nessun router normale può fare)


E poi?• Log delle azioni (su un syslog server non coincidente con lo

screening router, ovviamente!)• Segnalazioni ICMP (o no?)

– Quale tipo di messaggio ritornare (destination unreachable/destination administrative unreachable)

– Si può affrontare l’overhead della generazione e ritorno dell’errore? ATTENZIONE: DoS!!!

– E se questo fornisce più informazioni del dovuto all’attaccante?

– Di solito si evita di inviare ICMP all’esterno ma si permette all’interno


Come scegliere un Packet Filtering (I)

Ne esistono per tutti i gusti e per tutte le tasche. Alcune caratteristiche possono essere:

• Packet Filtering Performance: tener conto principalmente della velocità di connessione

Tipo di Connessione bps (app)pps (20 byte)

pps (40 byte)

V32.bis 14.400 90 45 56 kbps 56.000 350 175 E1 2.000.000 12.500 6.250 Ethernet (pratico) 3.000.000 18.750 9.375 Ethernet (teorico) 10.000.000 62.500 31.250


Come scegliere un Packet Filtering (II)

• Può essere un router o un computer, ma che faccia solo quello!

• Deve permettere una semplice specificazione delle regole

• Deve applicare le regole nell’ordine specificato• Deve applicare le regole separatamente per

pacchetti IN e per pacchetti OUT, su una base di interfaccia


Come scegliere un Packet Filtering (III)

• Deve permettere regole basate su criteri per header o meta-pacchetti:

– source/destination IP Address

– IP options

– Protocolli (TCP/UDP/ICMP…)

– Source/Destination port

– Tipo messaggio ICMP

– “Start of connection” (bit ACK) per TCP

HEADER

META – Interfaccia sulla quale si trova il pacchetto


Come scegliere un Packet Filtering (IV)

• Log dei pacchetti accettati/rifiutati• Capacità di test e validazione.

Quest’ultima è particolarmente difficile da trovare, però, anche in prodotti commerciali di alto livello.


Dove fare “packet filtering”?

• Ovunque si possa, nella nostra architettura di firewall!!– Sul router perimetrale (o access router)

– Su ognuno degli eventuali router interni

– Su host particolari (server, bastion host)


Proxy - Introduzione (I)

• Il termine “proxy” può essere tradotto come “procura”, “tramite”

• Difatti, un proxy è un sistema che– dal punto di vista dell’utente, si sostituisce al server

reale

– dal punto di vista del server reale, si sostituisce all’utente


Proxy - Introduzione (II)

• In pratica:– Una richiesta fatta da un client viene valutata dal proxy e, se

rispetta certe regole, viene rigirata al server reale, altrimenti viene scartata

– La risposta del server reale viene inviata al proxy server che la rigira al client

IsIs req1 req1 OK?OK?

req1 YES

NO

clientProxy

Real Server

Ans1 Ans1

client Proxy Real Server


Proxy - Introduzione (III)

• Non richiede un hardware particolare (un dual-homed o un bastion host) ma richiede spesso software o procedure speciali

• NOTA: i sistemi proxy sono efficaci solo se utilizzati congiuntamente a sistemi di controllo traffico, come gli screening router


Perchè usare un proxy?

• Non c’è alcun vantaggio a collegarsi ad Internet se, per sicurezza, gli utenti non vi possono accedere

• D’altra parte, non c’è sicurezza se c’è accesso indiscriminato per ogni host della rete

• Quale compromesso?– Un solo host collegato ad Internet, completamente separato dalla

rete interna, risulta poco utilizzabile e di difficile gestione

– Un solo host collegato ad Internet ma che faccia da tramite tra gli host interni ed il mondo esterno in modo (quasi) trasparente può essere la risposta


Le “illusioni” del Proxy

client

Proxy

Real Server

L’illusione del client

L’illusione del Real Server


Vantaggi del Proxy

• I servizi proxy permettono agli utenti di accedere ai servizi Internet “direttamente”

• I servizi proxy sono, solitamente, specifici al servizio Internet relativo

• Permettono un ottimo servizio di logging• Il fault di un servizio proxy è, solitamente, fail-safe


Svantaggi del Proxy

• Ritardo tra l’introduzione di nuovi servizi Internet e la disponibilità del servizio proxy relativo

• I servizi proxy possono richiedere diversi server per ogni servizio

• I servizi proxy, solitamente, richiedono modifiche ai client, alle procedure o ad entrambe

• Alcuni servizi Internet non sono gestibili da proxy• I servizi proxy non proteggono dalle debolezze dei

protocolli


Come funziona il Proxy

• I dettagli differiscono da servizio a servizio• Alcuni servizi Internet (come SMTP, NNTP, NTP)

sono proxy per natura. Altri (la maggioranza, purtroppo) richiedono software appropriato sul server

• Dal lato client c’è bisogno di una delle seguenti:– software client personalizzato

– procedure utente personalizzate


Terminologia dei Proxy Server

• Proxy Application-Level (anche Dedicated Proxy): E’ un proxy che conosce la particolare applicazione per la quale fornisce il servizio

• Proxy Circuit-Level (anche Generic Proxy): crea un “circuito” tra il client e il server reale senza l’interpretazione del protocollo applicativo

• Intelligent Proxy Server: proxy che, oltre a rigirare le richieste, svolgono altri compiti correlati come caching server per http o log dettagliati


Utilizzo di proxy con servizi Internet

• L’utilizzo del proxy complica notevolmente la vita! Ma a volte è un male necessario!!– TCP è abbastanza semplice da gestire attraverso un proxy, essendo

connection-oriented

– UDP crea overhead (ogni pacchetto deve essere valutato separatamente)

– ICMP è praticamente impossibile da usare con un proxy

– le connessioni unidirezionali sono semplici da gestire per un proxy

– le connessioni multidirezionali sono un incubo!!

– Per alcuni servizi il proxy può essere tecnicamente semplice ma inutile da un punto di vista della sicurezza (X11 e, secondo alcuni più “paranoici”, http)


E se non si può?

Cosa fare se:D: Non c’è un proxy server a disposizione?R: Scrivetevelo! (SOCKS, TIS-FWTK…)D: Anche utilizzando il proxy non si rende

abbastanza sicuro un servizio?R: Victim-MachineD: Non si può modificare il client e il protocollo non

permette di usare procedure modificate?R: Victim-Machine/Bastion-Host


VPN: Virtual Private Network

• Non è propriamente un firewall quanto una tecnica che permette di creare dei “canali” di comunicazione sicuri, privati, tra due o più entità usando circuiti pubblici, come Internet, ed utilizzando vari metodi come crittografia, tunnelling, Ipsec

• Molti firewall-in-the-box commerciali, oggigiorno, implementano in qualche modo la tecnica VPN e tutte le soluzioni VPN devono implementare un firewall!

PON 2004 - Reti di Calcolatori FW - 1 FIREWALL - Argomenti Perchè “Internet Firewall”? Servizi...

Documents

Transcript of PON 2004 - Reti di Calcolatori FW - 1 FIREWALL - Argomenti Perchè “Internet Firewall”? Servizi...