IL FIREWALL
07 maggio 2009
Licia FoschiValentina
Grillandi
Sommario: Introduzione generale sulla
sicurezza:
concetti base
Descrizione ed analisi del
firewall:
caratteristiche generali
tipologie
comuni attacchi a cui viene
sottoposto
test
2
1
Che cosa significa “SICURO” ? (1)
“Un computer sicuro è un computer spento,
staccato dalla rete e buttato in fondo al mare!”
1
Che cosa significa “SICURO” ? (2)
Quando si parla di “sicurezza informatica”, vengono coinvolti tre aspetti di un sistema informatico:
La riservatezza
L’integrità
La disponibilità
1
Che cosa significa “SICURO” ? (3)
RISERVATEZZA
le risorse informatiche siano accessibili solo dalle parti autorizzate
INTEGRITA’ DISPONIBILITA’
le risorse sono accessibili alle partiautorizzate in momenti specifici
SICURO
le risorse possono essere modificate solo da parti o modi autorizzati
1
Che cos’è un FIREWALLIl firewall -“Muro di Fuoco”- nasce all’inizio degli anni ‘90, è un sistema interposto fra due o più reti, con lo scopo di controllare il traffico tra di esse, implementato mediante una serie di regole che variano in base alle esigenze dell’utente. Il presupposto principale per il corretto funzionamento di un firewall è che questo sia l’unico punto di contatto fra le reti
1
Che cos’è un FIREWALLIl firewall è un componente critico della sicurezza di una rete, più è complesso e quindi soggetto a errori e vulnerabilità.
E’ importante che il numero di frammenti di codice sul dispositivo, sul quale è implementato, sia il minore possibile in questo modo minore è il numero degli strumenti a disposizione dell’aggressore per la compromissione del firewall.Un firewall interposto fra una rete aziendale e Internet è ormai considerato un componente necessario, anche se in generale non sufficiente, per la protezione della rete
1
Scopo del firewall
Perchè un firewall possa mantenere all’esterno di un
ambiente protetto gli elementi “cattivi” si
può
permettere gli accessi solo da alcuni luoghi,
da determinati utenti o per
certe attività.
impedire qualsiasi accesso
dall’esterno
1
Scopo del firewall Si possono descrivere due scuole di pensiero:
“Quello che non è espressamente consentito è proibito”
consigliata dagli esperti della sicurezza
“Quello che non è espressamente proibito è consentito”
preferita dagli utenti
1
Scopo del firewall “Quello che non è espressamente
consentito è proibito”
il Firewall deve bloccare tutto il traffico
gli utenti vedono il firewall come un ostacolo alla loro attività lavorativa.
“Quello che non è espressamente proibito è consentito”
l’amministratore di sistema deve decidere preventivamente che tipo di azioni pericolose potrebbero intraprendere gli utenti
di difficile attuazione in particolare se si lavora con reti ampie.
1
Tipi di firewall
I firewall si classificano come: firewall software
programmi facili da installare e da configurare, ma non in grado di bloccare gli attacchi medio-avanzati
firewall hardwareaffidabili ma devono essere collocati a
monte della rete informatica dell'azienda e configurati da un sistemista
esperto
1
Tipi di firewallFirewall :
Packet filter - stateful inspection - content inspection
Proxy - circuit level gateway
Dedicati ad unico protocollo Generici
- application level gateway
Personale
1
Tipi di firewall
È importante ricordare che la semplicità in un criterio di protezione non è una cosa negativa: la domanda importante da porsi quando si sceglie un tipo di firewall riguarda le minacce che un’istallazione deve contrastare.
1
Cosa PUO’ e NON PUO’ fare il firewall
Sebbene il firewall sia uno strumento importante per la protezione di un ambiente connesso ad una rete, non è una soluzione completa a tutti i problemi.Il firewall “Puo’”:
proteggere un ambiente solo se controlla
l’intero perimetro
provvedere ad un singolo punto di blocco
suddividere la rete in “zone”
bloccare il traffico dall'esterno all'interno
1
Cosa PUO’ e NON PUO’ fare il firewall
Il firewall “Non Puo’”:
proteggere i dati esterni al perimetro
essere utile contro attacchi dall’interno
essere l’unico strumento che garantisce la
sicurezza
essere impenetrabili
garantire difese in profondità
proteggere da virus
controllare tutti i livelli dello stack dei
protocolli
1
Architettura del firewall
Principi fondamentali per la progettazione di un firewall
separazione di reti
con requisiti diversi
flessibilità
semplicità controllo
difesa in profondità
ridondanza delle
protezioni
1
DMZDMZ -zone demilitarizzate- sono una tecnica che aumenta notevolmente la sicurezza effetuando una divisione della rete in zone diverse in base al tipo di traffico e alla funzione richiesta.Area in cui sia il traffico WAN
che quello LAN sono fortemente limitati e controllati, che viene gestita con un’ulteriore interfaccia di rete del firewall, oppure viene creata aggiungendo un firewall.
Rete che è protetta da Internet, ma dalla quale nello stesso tempo è protetta la rete locale.
1
Personal Firewall Il personal firewall è uno strumento nato per proteggere singoli sistemi connessi a Internet. Non si tratta solo di firewall a livello IP, anche se molte delle funzionalità sono svolte a questo livello. Si colloca a metà strada fra un firewall e un sistema di Intrusion Detection.La sua funzionalità principale è: Possibilità di riconoscere e selezionare le applicazioni che possono accedere alla rete come client o come server. Registrazione del traffico non autorizzato verso il sistema.
Firewall
Internet
1
Vantaggi e Svantaggi
SVANTAGGI: Il personal firewall è eseguito sullo stesso sistema operativo che dovrebbe proteggere.
La configurazione è spesso lasciata a utenti finali poco esperti.
VANTAGGI: Può sapere quale applicazione ha generato un pacchetto o è in ascolto su una determinata porta, e può basare le sue decisioni anche su questo.
Può essere installato rapidamente e indipendentemente dagli amministratori di rete
1
Packet Filter Opera direttamente sui pacchetti IP, facendo riferimento ad un firewall interposto fra una rete aziendale e Internet. E’ la forma più semplice di firewall, ed è in genere implementato all’interno di router.
1
Vantaggi e Svantaggi
Non entra nel merito dei protocolli applicativi. La scrittura di regole è complessa. Sono difficile da configurare e da gestire. Peggiorano le prestazioni dei dispositivi in cui si trovano.
VANTAGGI: Economico. Può essere realizzato sia con struttura hardware che software. E’ un meccanismo trasparente che non ostacola il normale utilizzo della rete.SVANTAGGI: Non distingue i pacchetti che sono parte di connessioni in corso. Non permette di gestire protocolli che utilizzino porte dinamiche.
1
Stateful Inspection
Il firewall mantiene traccia delle connessioni che sono state aperte, e quindi è possibile selezionare i pacchetti che ne fanno parte, autorizzandoli.
Seleziona con maggiore precisione il traffico permesso, e semplifica la scrittura di regole, aumentandone la leggibilità e riducendo gli errori.
Ha particolare difficoltà nel gestire politiche che entrino nel merito di protocolli applicativi.
1
Content Inspection
Tecnica che tenta di unire la flessibilità dei packet filter con controlli applicativi più sofisticati, e che è utilizzata da molti dei prodotti più diffusi; si cerca di esaminare il protocollo applicativo pur mantenendo il meccanismo di far transitare i pacchetti originali.
Quando i controlli sono sofisticati, questi strumenti si appoggiano ad applicazioni complesse, spesso esterne al prodotto (antivirus).
La configurazione di questi strumenti è molto simile a quella per i packet filter più semplici, pur permettendo l’uso di regole più di alto livello.
1
NATNAT(Network Address Traslation) ovvero la traslazione di più indirizzi di rete IP privati in un unico indirizzo IP pubblico Si basa su:
Mascheramento degli indirizzi IP Un pacchetto che non abbia una corrispondenza nelle tabelle di NAT del router/firewall non viene instradato verso la rete privataIl NAT usa una tabella contenente la corrispondenza tra i socket interni ed esterni in uso.
PAT (Port Address Translation) che è una particolare tecnica di NAT che permette di effettuare una “mappatura” (stabilire una corrispondenza) tra più indirizzi IP di una rete privata, variando ad ogni traslazione di indirizzo anche la porta.
1
Un proxy è …
VANTAGGIO :La topologia della rete aziendale compresi gli indirizzi IP non sono riconoscibili da internet.
Nella maggior parte dei casi lavora a livello applicativo dove gestisce un numero limitato di protocolli applicativi.
Un programma che si interpone tra un client ed un server, inoltrando le richieste e le risposte da un host all’altro.
1
Firewall basati su proxy
La caratteristica principale di questa tipologia è che i pacchetti non attraversano il firewall.
I firewall basati su proxy non fanno neppure ROUNTING (instradamento) fra le diverse interfacce.
1
Firewall basati su proxy vs Packet
Filtering (1)Gli attacchi ai livelli bassi dello stack TCP/IP non possono superare il firewall.
Il problema del mantenimento dello stato è gestito implicitamente dallo stack del firewall.
Si ha necessariamente una politica di default deny.
La topologia delle reti connesse, e in particolare gli indirizzi IP sono nascosti dall’uso del proxy.
I dati subiscono un trattamento più complesso sul firewall.
Per gestire un protocollo applicativo complesso è necessario un componente specifico.
1
Firewall basati su proxy vs Packet
Filtering (2)
Gli ultimi due punti hanno
notevolmente limitato la
diffusione di questa tecnologia
perché il rischio di prestazioni
insufficienti hanno fatto preferire
in molti casi tecnologie meno
sicure ma più flessibili.
Le due tipologie di firewall basati su
proxy
CIRCUIT-LEVEL GATEWAYS: usano
proxy generici, permettono il transito di
traffico TCP/UDP generico senza entrare
nel merito del protocollo (operano al livello
trasporto)
APPLICATION-LEVEL GATEWAYS: usano proxy specifici per i singoli protocolli applicativi, i controlli risultano più completi
(operano a livello applicazione)
Firewall basati su
Proxy
1
Circuit-Level GatewaysIl meccanismo consiste nel creare un circuito virtuale tra il client interno alla rete ed il proxy server. Tutte le richieste verso internet sono indirizzate, attraverso questo circuito, al proxy che si occuperà di “girarle” ad Internet dopo aver cambiato IP Adress; lo stesso procedimento vale anche nel senso inverso. Un firewall di questo tipo non effettua nessun controllo o ispezione particolare sui pacchetti, ma si limita ad indirizzarli a/da Internet.
1
Vantaggi e Svantaggi
SVANTAGGI: Utilizzando la libreria socks possono nascere problemi di portabilità visto che cambia da sistema a sistema. Ogni browser della rete interna viene ricompilato con la libreria socks. Nel caso di reti di grandi dimensioni questa operazione può risultare molto complessa e costosa. (Alcuni browser sono però venduti già con il supporto socks, quindi non è necessaria la ricompilazione).
VANTAGGI: I controlli vengono fatti ad un livello di sistema operativo. Un unico programma è in grado di gestire più protocolli. Il meccanismo di sicurezza è ben nascosto all’utente.
1
Application-Level Gateways
I gateways di applicazione possono proteggere i sistemi all’interno del Firewall filtrando selettivamente in base al tipo di richiesta.
Sono sistemi che risiedono sul computer del gateway.Il proxy incorpora parte del linguaggio e del protocollo dell’applicazione. Il gateway di applicazione esegue controlli sull’accesso a livello più alto.
Ogni servizio specifico necessita di un proprio gateway di applicazione.
1
Vantaggi e Svantaggi
SVANTAGGI: Ogni applicazione richiede uno specifico proxy. Il software del gateway di applicazione può essere molto complesso, può quindi accadere che contenga errori non rilevati che potrebbero mettere a repentaglio il funzionamento del Firewall.
VANTAGGI: Consente un filtraggio molto selettivo. La connessione è solo attraverso il software del proxy, che viene utilizzato per fornire un più elevato livello di sicurezza. Riduce il carico di lavoro per rendere sicuri i PC, in quanto la rete diventa praticamente invisibile all’esterno, ottenendo così ottimi livelli di protezione. Permette servizi di auditing (controllo delle connessioni), è in grado di eseguire analisi accurate del traffico in ingresso e in uscita. E’ facilmente configurabile e gestibile.
1
Altre funzionalità con un proxy
In tal caso, un proxy può servire per aggiungere: Antivirus centralizzato Modifica degli header dei messaggi in transito, cancellando o uniformando alcune parti; ad esempio verificando che gli indirizzi mittente corrispondono alle politiche aziendali. Eliminazione o quarantena degli allegati ritenuti pericolosi. Politiche di protezione dallo spam; ad esempio blocco di messaggi di posta provenienti da siti inclusi in blacklist di indirizzi noti per diffondere spam.
Ci sono protocolli per cui il meccanismo dei proxy è particolarmente naturale, un esempio ne è in particolare il protocollo SMTP per la gestione della posta elettronica. Utilizzare firewall basati su proxy per questo genere di protocolli è generalmente facile.
1
Confronto tra tipi di firewallFiltraggio
Pacchetti
Stateful
Inspection
Application
Proxy
Firewall
Personale
Il più semplice Più complesso Ancora più complesso Simile al firewall di
filtraggio dei
pacchetti
Vede solo gli indirizzi
e il tipo di protocollo
di servizio
Può vedere gli
indirizzi e i dati
Vede l’intera porzione
dati del pacchetto
Può vedere l’intera
porzione dati del
pacchetto
Controllo difficile Controllo possibile Può controllare
l’attività
Può controllare
l’attività
Analisi basata sulle
regole di
connessione
Analisi basata sulle
informazioni tra
pacchetti, nei campi
dati o intestazione
del messaggio
Analisi basata sul
comportamento dei
proxy
Analisi di solito
basata sulle
informazioni di un
singolo pacchetto,
usando i dati o
l’intestazione
Regole di
indirizzamento
complesse possono
complicare la
configurazione
Generalmente
preconfigurato per
rilevare alcune firme
degli attacchi
I proxy semplici
possono sostituire le
regole di
indirizzamento
complesse
Generalmente inizia
da una modalità
”nega tutto il traffico
in ingresso”, a cui
l’utente aggiunge gli
indirizzi trusted di
volta in volta
Possibili attacchi ad un firewall
AttacchiDoS: (Denial of Service) attacchi che non mirano
alla distruzione o al furto di dati
bensì determinano un’interruzione del
servizio
Ping of Death: è uno degli
attacchi più noti
e semplic
i: si tratta di inviare all’host preso di
mirra un
pacchetto ICMP con un carico di dati maggio
re di 64Kb.
SYN Flood: sfrutta
una particol
are proced
ura nell’avvio delle transazioni TCP
la procedura di avvio della
sessione viene eseguita più volte
sempre per due
terzi creando
un collassamento
dell’host
remoto.
IP Spoofing:attacco molto complesso chi
attacca cerca di collegarsi ad un server o ad un host “rubando
l’identità” di una macchina nota.
36
1
Access Rules per un firewall (1)
Loopback: il traffico sull’interfaccia deve essere bloccato. In generale si blocca il traffico destinato all’interfaccia ma non quello generato sull’interfaccia stessa.
Frammentazione e traffico anomalo: tipologie di pacchetti indesiderati che corrispondono spesso a note tecniche di attacco, è bene quindi bloccarli.
Antispoofing: tale operazione può essere ottenuta inserendo subito delle regole che bloccano il traffico proveniente da interfacce sbagliate.
Access Rules
1
Access Rules per un firewall (2)
Access Rules
Broadcast: non hanno un valido motivo per attraversare un firewall, quindi devono essere bloccati in ingresso, è difficile riconoscerli in uscita.
ICMP: il traffico deve essere selezionato con cura tra uscente ed entrante, per decidere cosa bloccare e cosa no. Alcuni tipi se bloccati possono creare disagi.
Multicast: usato principalmente da protocolli di routing e da applicazioni audio/video, è bene valutare caso per caso la stabilità ed il controllo che può ottenere.
Test sui firewalls
Le due tecniche più diffuse di verifica del software sono: il test della qualità esterna (black box) il test della qualità interna (white box)
Il test di qualità esterna: si presuppone che non si conoscano i comportamenti interni del software e se ne verifica il comportamento in relazione alle specifiche e a molti input diversi.
Il test di qualità interna: si considera la conoscenza del codice per verificare come lo stato interno risponde a vari input.
1
Alcuni tipi di test…Test sui Firewalls
Ispezione delle regole: il numero di regole è il miglior indicatore della
complessità di un firewall. In presenza di più firewall è bene eseguire i test da
diverse posizioni esterne per assicurarsi che le regole siano
coerenti.
Isperione manuale: la lettura delle regole e la
giustificcazione di ciascuna è un aspetto necessario dei
test; tuttavia ci sono dei limiti quantitativi.
Ispezione assistita dal computer: si verifica ogni
regola e si tende a ricercare regole con carattere jolly e
quelle parzialmente sovrapposte ad altre.Tiger Team: sottopongono un firewall
a test di stress lanciando su di esso veri e propri attacchi intrusivi. È
importante definire i risultati
1
Problemi dei firewalls (1)
→ Problemi Involontari: alcuni problemi sorgono senza alcun intento malevolo da parte di utenti o amministratori. I set di regole tendono a diventare pesanti; la complessità della politica implementata per il firewall è spesso maggiore di quella specificata per il sito. → Sovvertimenti Intenzionali: alcuni
problemi sono dovuti a espliciti tentativi di sovvertimento, a loro volta ascrivibili a utenti che desiderano più funzionalità di quelle offerte, o malintenzionati che tentano di sovvertire il sito. I problemi sono anche causati da sistemi progettati per scavalcare i firewall.→ Gestione dei frammenti IP: l’esistenza della
frammentazione IP rende difficile la vita dei filtri di pacchetti. È possibile che bit ACK o SYN di un pacchetto TCP finiscano in un frammento diverso da quello in cui si trova il numero di porta. Eventuali errori nell’elaborazione della frammentazione possono, rappresentare un punto debole dei firewall.
Problemi dei firewalls (2)
→ Il problema di FTP: il firewall deve aprire un canale dati FTP in entrambe le direzioni in base ai comandi ricevuti sul canale di controllo. FTP è talmente importante, da indurre alcuni progettisti di firewall a implementare il protocollo FTP nel kernel del firewall al livello dei pacchetti, questo li obbliga ad analizzare i comandi del canale di controllo al livello di pacchetti.→ Firewalking: pacchetti dall’aspetto innocuo, ad
esempio ICMP, possono in realtà essere usati per mappare gli host che si trovano dietro un firewall; ciò può avvenire aggiungendo al programma traceroute un’opzione che forzi l’uso dei pacchetti ICMP e UDP, a seconda del protocollo consentito. Questa tecnica può essere usata per verificare se gli host sono attivi e se eseguono particolari servizi.→ Amministrazione: un problema amministrativo è la
gestione di una rete molto vasta che non può essere svolta da un’unica persona. Un’altra problematica sorge dalla sovrapposizione dei domini di sicurezza; in una grande organizzazione, esistono potenzialmente molti percorsi tra i nodi interni e l’esterno. Non è sempre ovvio quale set di regole o quale errore di applicazione porti all’esposizione di una particolare area.
42
1
Conclusione
Un firewall non può rimpiazzare la coscienza, la
consapevolezza e la prudenza dei suoi utenti
Riferimenti
1
“Sicurezza in informatica”, C.Pfleeger, S.Pfleeger, 2004
“Firewall e sicureazza in rete”, W.Cheswick, S.bellovin, A. Rubin, 2003
“Sicurezza Informatica”, Gruppo di sviluppo M5, 2005