1 / 31

Il Firewall

Il Firewall. Sistemi di elaborazione dell’informazione : Sicurezza Anno Accademico 2001/2002 Martini Eros. Indice degli Argomenti. Introduzione ai Firewall Breve Introduzione al Packet filtering Proxying - Circuit Relay - Application Gateway

quamar-barker
Download Presentation

Il Firewall

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Il Firewall Sistemi di elaborazione dell’informazione : Sicurezza Anno Accademico 2001/2002 Martini Eros

  2. Indice degli Argomenti • Introduzione ai Firewall • Breve Introduzione al Packet filtering • Proxying - Circuit Relay - Application Gateway • Architetture di un Firewall

  3. Come proteggere una Rete Per proteggere una rete da attacchi esterni sono possibili i seguenti approcci : • No Security: e’ il piu’ semplice approccio possibile; non si effettua nessun controllo • Security Through Obscurity: non si conosce l’esistenza della rete e soprattutto il suo contenuto • Host Security: si cerca di garantire la sicurezza di ogni host che fa parte della rete • Network Security: si controllano gli accessi ai vari host e servizi della rete piuttosto che garantire la sicurezza del singolo host N.B. : NESSUNO di questi modelli risolve completamente i problemi di sicurezza della rete. - Introduzione ai Firewall -

  4. Cosa e’ un Internet Firewall Il Firewall e’ una efficace implementazione del modello Network Security.Esso fa in modo che i pericoli provenienti da Internet non possano diffondersi all’interno di una rete privata. Le sue principali funzioni sono: • Restringere l’accesso alla rete in un punto attentamente controllato • Impedire che eventuali intrusi arrivino vicini alle altre difese della propria rete • Restringere l’uscita al mondo esterno in un punto attentamente controllato - Introduzione ai Firewall -

  5. Cosa puo’ fare • Controlla tutto il traffico in entrata e in uscita dalla propria rete locale • Implementa la politica di sicurezza della rete, abilitando soltanto opportuni servizi scelti in base ad preciso insieme di regole • Registra in modo efficiente le attivita’ su Internet • Mantiene separate le varie sezioni della propria rete , facendo in modo che eventuali problemi di una singola sezione non si diffondano all’intera rete - Introduzione ai Firewall -

  6. Cosa non puo’ fare • Il Firewall non puo’ controllare direttamente quelli che sono gia’ all’interno della rete • Controllare il traffico che non lo attraversa direttamente • Non puo’ garantire nessun tipo di sicurezza contro le “minacce sconosciute” • Non protegge dai virus - Introduzione ai Firewall -

  7. Tecnologie utilizzate nei Firewall FUNZIONI SVOLTE : POSIZIONE : • Packet Filtering - Screening Router router interni o esterni - Host Based Packet Filter bastion host • Proxying - Circuit Relay bastion host - Application Gateway bastion host Questa classificazione e’ fatta in base alle funzioni svolte e alla posizione in cui viene implementato il Firewall stesso, su un router o su di un bastion host - Introduzione ai Firewall -

  8. Il Packet Filtering a a Il Packet Filtering e’ un meccanismo frequentemente utilizzato nella costruzione di un Firewall.Analizza i pacchetti in transito fra le reti decidendo quali lasciar passare e quali fermare.Le tecniche di Packet Filtering si basano su precise regole che sono state stabilite nella politica di sicurezza della rete . Il software che implementa il Packet Filtering e’ in grado di esaminare l’header di ciascun pacchetto non appena questo transita per passare da una rete all’altra. Screening Router o Host-based Packet Filter Internet Rete Protetta b c c - Introduzione al Packet Filtering -

  9. Regole • Provenienza dei pacchetti • Informazioni contenute nell’IP header tipo di protocollo indirizzo IP mittente indirizzo IP destinatario • Informazioni contenute nel TCP header porta TCP mittente porta TCP destinatario TCP flags ( per esempio ACK ) • Informazioni contenute nell’UDP header porta UDP mittente porta UDP destinatario - Introduzione al Packet Filtering -

  10. Packet Filtering e Pila OSI Il Packet Filtering e’ spesso una buona prima linea di difesa nella architettura di un Firewall. I dispositivi e il software che realizzano il PF servono per controllare attentamente l’accesso ad una rete. Il PF lavora ai livelli piu’ bassi della pila TCP/IP ( Transport e Network) Application Presentation Session Tcp,Udp Transport Packet Filtering Ip,Icmp Network Data Link Hardware - Introduzione al Packet Filtering -

  11. Metodo di Lavoro Le regole tradotte nella sintassi specifica dello Screening Router o dell’Host-Based Packet Filter funzionano nel seguente modo : • Le regole del PF sono espresse come una tabella di condizioni e azioni applicate in un ordine specifico • Ricevuto un pacchetto vengono esaminati i campi contenuti negli header IP,TCP e UDP • I pacchetti vengono confontati con ciascuna delle regole decidendo poi di instradare o bloccare un pacchetto • Se un pacchetto soddisfa tutte le condizioni di una riga della tabella delle regole, allora l’azione specificata in quella riga (accettare o negare) viene eseguita - Introduzione al Packet Filtering -

  12. Schema generale no Prossima Soddisfa la Regola ? regola si Host in Internet pacchetto Accettare O Rifiutare ? ricevuto Host sulla Rete Protetta accettare rifiutare - Introduzione al Packet Filtering -

  13. Il Proxying Internet Rete Protetta Proxy Server Con il Proxying si ha l’impressione che gli host della rete siano direttamente connessi all’esterno. In realta’ sono gli host che hanno l’accesso fisico all’esterno che agiscono da procuratori per tutte le altre macchine. Un proxy server viene quindi installato su un Dual-Homed host o su di un Bastion Host.. Il proxy seguendo regole di filtering decide quali richieste lasciar passare e quali rifiutare. Per l’utente, parlare con il proxy e’ come parlare con il server reale. E’ molto importante l’utilizzo del proxying anche per le funzioni di CACHING Server reale Dual – Homed Bastion Host Client - Proxying -

  14. Meccanismi del Proxying Il Proxy e’ essenzialmente costituito da software che agisce a livello di servizi Internet. I due meccanismi fondamentali che gestiscono il proxying sono : • Circuit Relay Un unico proxy server si incarica di controllare le varie applicazioni di rete • Application Gateway Un proxy server separato deve essere creato per ciascuna applicazione di rete Con il proxy otteniamo quello che non avevamo con il PF: - Politiche di sicurezza piu’ dettagliate e migliori meccanismi di Auditing - Semplicita’ nell’implementare le regole - Facilita’ nel verificare la correttezza delle regole - Proxying -

  15. Proxying e Pila OSI Il proxying puo’ quindi lavorare sia al livello Transport sia al livello Application della pila OSI. Application Telnet,Ftp,Http Application Gateway Presentation Session Circuit Tcp,Udp Transport relay Ip,Icmp Network Data Link Hardware - Proxying -

  16. Circuit Relay • Molto simile al packet filtering per i suoi criteri di decisione; determina se lasciar passare o meno un pacchetto basandosi sulle informazioni contenute nel suo header • Rispetto al packet filtering crea un nuovo pacchetto con un altro header.In questo modo l’eventuale risposta del server sara’ indirizzata al Proxy • Tale meccanismo impedisce ad un qualsiasi utente di far sapere dove si trova all’interno della rete e protegge gli esterni che non vogliono far conoscere all’utente la loro posizione - Circuit Relay -

  17. Componenti di un Circuit Relay Consiste di : • Client “ modificati ” : inoltrano le richieste di collegamento a Internet a server dedicati posti su di un Bastion Host • Un proxy server generico , che inoltra le richieste agli host su Internet e risponde ai client N.B.: E’ possibile permettere connessioni solo ad host autorizzati e solo a certe destinazioni su Internet.Il Cr copia semplicemente i pacchetti da un sistema ad un altro,cambia l’indirizzo IP in quello del circuit relay server e effettua alcuni controlli di sicurezza sulla provenienza e sulla destinazione delle connessioni. Il fatto di dover installare su ogni client un software opportuno e’ cosa talvolta onerosa e spesso causa di errori - Circuit Relay -

  18. Funzionamento del Circuit Relay • Un utente richiede un servizio applicativo da un client modificato su un host interno • Si tenta di inviare la richiesta direttamente all’application server su Internet • Il client si accorge che non e’ raggiungibile quindi si connette con il Circuit Relay • Il CR riceve il pacchetto dal client • Il CR controlla le caratteristiche del pacchetto seguendo le regole nel file sockfd.conf • Il CR o blocca il pacchetto o si connette con l’host di destinazione • L’host di destinazione risponde al CR con un pacchetto che riceve lo stesso trattamento del precedente - Circuit Relay -

  19. Schema di funzionamento richiesta richiesta Application Server Client modificato Bastion Host risposta risposta Internet Circuit Relay Rete Protetta - Circuit relay -

  20. Application Gateway • Risponde al client come un server reale per una determinata applicazione, in realta’ le richieste vengono inoltrate al server reale • Non ci sono Client “ modificati ” • Puo’ essere configurato per servire solo client autorizzati e limitare il loro accesso a certi comandi e a certe destinazioni • Lavora al livello Application della pila OSI • Agisce per una specifica applicazione • E’ piu’ costoso ed ha un sensibile impatto sulle prestazioni del sistema • Offre in compenso caratteristiche di sicurezza piu’ evolute direttamente implementate nel livello Application - Application Gateway -

  21. Funzionamento di un Application Gateway • Un utente richiede un servizio Internet • Il client si connette all’Application Gateway sul Bastion Host • Identificazione del client attraverso indirizzo e il protocollo IP o attraverso un’autenticazione manuale ( password ) • Il client sceglie l’host di destinazione • Attraverso le regole di autorizzazione, l’Application Gateway decide se accettare o rifiutare l’accesso al servizio richiesto • L’Application Gateway si connette al server reale usando il protocollo applicativo appropriato • Il client manda un comando attraverso l’Application Gateway • L’Application Gateway registra il comando, controlla le regole ed accetta o rifiuta l’operazione - Application Gateway -

  22. Schema di funzionamento Client Application Gateway Application Transport Transport Network Network Data Link Data Link Hardware Hardware Server su Internet - Application Gateway -

  23. Architetture di un Firewall • Border Router • Dual – Homed Bastion Host • Screened Host • Screened Subnet • Architetture ibride - Screened Subnet con Bastion Host multipli - Dual – Homed Bastion Host con DMZ - Screened Subnet con Backbone interno - Architetture -

  24. Border Router E’ uno dei piu’ semplici esempi di implementazione del Packet Filtering Host A Host B Internet Screening Router Rete Protetta - Architetture -

  25. Dual – Homed Bastion Host Internet Rete Protetta Dual – Homed Bastion Host Il Firewall consiste in un Bastion Host con due interfacce di rete. Indirizzo IP diverso su ciascuna interfaccia. L’instradamento e’ disabilitato sul Dual – Homed Bastion host cosi’ i pacchetti IP non sono direttamente instradati da una rete all’altra. - Architetture -

  26. Screened Host In questo caso il Bastion host supporta una singola interfaccia di Rete. Lo screening router permette agli host esterni di comunicare solo con il Bastion host. Questo supporta tipicamente i proxy services. Rete Protetta Host A Internet Screening Router Bastion Host Host B - Architetture -

  27. Screened Subnet DMZ = Perimeter Network. Architettura che cerca di Schermare la rete protetta da Attacchi che arrivano Al Bastion Host DMZ Rete Protetta Bastion Host Host A Screening Router Esterno Screening Router Interno Host B Internet - Architetture -

  28. Screened Subnet con Bastion Host multipli DMZ Possibilita’ di utilizzare macchine “ vittima “ Rete Protetta Bastion Host ftp server Bastion Host www server Host A Bastion Host Proxy servers Screening Router Esterno Host B Internet Screening Router Interno - Architetture Ibride -

  29. Dual – Homed Bastion Host con DMZ DMZ Rete Protetta Bastion Host ftp server Bastion Host www server Host A Screening Router Esterno Host B Internet Dual – Homed Bastion Host Proxy Servers - Architetture Ibride -

  30. Screened Subnet con Backbone interno DMZ Backbone interno Il Backbone interno impedisce che un intruso gia’ arrivato al Bastion host possa controllare il traffico interno che passa attraverso la DMZ. Utile anche contro IP spoofing Sotto Rete A Screening Router Bastion Host Sotto Rete B Screening Router Screening Router Esterno Internet Screening Router Interno Rete Protetta - Architetture Ibride -

  31. Conclusioni • Esistono vari tipi di architetture di un Firewall • I Firewall si basano su tecnologie in continua evoluzione • I futuri Firewall saranno sempre piu’ potenti e trasparenti • La sua realizzazione dipende dalla politica di sicurezza adottata e soprattutto dal Budget disponibile • Il problema del traffico interno e’ ancora notevole - i dati in ingresso attraverso un Firewall possono contenere virus o comunque compromettere la sicurezza degli host interni in vari modi - molti Firewall non riescono a proteggere da attachi ben mirati ( problema a volte risolvibile con l’utilizzo di macchine “ vittima “ ) - Conclusioni -

More Related