09 Slides - Firewall Slides - Firewall.pdf · 2010. 5. 11. · Il traffico interno alla LAN con...

SeQ dei serivzi su internet

© 2009 Università degli Studi di Pavia, C.Parisi 1

Firewall

Generalità


FirewallDefinizione

Un firewall è un sistema che protegge i computer connessi in rete da attacchi intenzionali mirati a compromettere il funzionamento del sistema, alterare i dati ivi memorizzati, accedere a risorse private, effettuare attacchi di tipi DoS.

Un firewall può essere sia un apparato hardware sia un programmasoftware.

Esso presenta due interfacce di rete e quindi è associato a due IP addressdiversi:

• IP pubblico che identifica la rete a cui è esposto • IP privato che identifica la rete interna che protegge




FirewallEsempi

Esempio di applicazione di un firewall per proteggere una rete privata interna (SOHO home, etc...) dalla rete pubblica (Internet).

Il traffico interno alla LAN con firewall viaggi su di una rete “trusted”, mentre quello esterno “untrusted”.

Fonte Internet


FirewallConfigurazione - WAN

Indirizzo “Pubblico”




FirewallConfigurazione - LAN

Indirizzo “Privato” interno.


FirewallEsempi

Esempio di applicazione di un firewall in una rete con un web server e ftp server.

Notare come i due server (WWW server e FTP server) siano collocati al di fuori della zona “trusted” in quanto devono essere visibili alla rete pubblica.

Un firewall NON può filtrare e/o controllare il traffico generato da un modem collegato con la rete pubblica all’interno della trusted zone. Fonte Internet



Firewall

Tipologie e Funzioni


FirewallFunzioni

Un firewall esamina il traffico di rete che transita tra le zone trusted ed untrusted e verifica che rispetti determinati criteri. In particolare può:

• Bloccare l’ingresso e/o l’uscita di pacchetti in base all’indirizzo IP del mittente/destinatario e/o la porta utilizzata (IP filtering o packetfiltering)

• Bloccare l’ingresso e/o l’uscita di pacchetti in base al tipo di protocollo utilizzato (protocol filtering).

• Gestire l’accesso pubblico ad applicazioni e/o risorse (es. stampante) private.

• Produrre il log di tutti i pacchetti transitati attraverso di esso o di quelli che sono stati rifiutati in quanto non rispondenti alle regole.

• Inviare in automatico messaggi (sottoforma di e-mail) al responsabile della rete all’insorgere di tentativi di accesso non autorizzato.




FirewallOperazioni

Schema di funzionamento del firewall.

Blocca l’uscita di pacchetti dalla rete trusted verso Internet (ad es. perchè diretti verso siti configurati come non attendibili).

Blocca l’ingresso di pacchetto dalla rete pubblica (ad es. tentativi di connessioni telnet, ftp, ping, etc...)

Fonte Internet


FirewallConfigurazione - LAN

In particolare il firewall può essere configurato come DHCP server (Dynamic Host Control Protocol) per la LAN interna.




FirewallDynamic Host Control Protocol (DHCP)

Il DHCP è un protocollo usato per assegnare dinamicamente gli indirizzi IP ai calcolatori di una rete.

L’architettura è di tipo client/server

• DHCP server è la macchina che assegna gli indirizzi (es. firewall router della pagina precedente)

• DHCP client il computer che ha bisogno di ottenere un indirizzo valido nella sottorete.


FirewallDynamic Host Control Protocol (DHCP)

Nella figura la lista degli indirizzi assegnati ai computer connessi alla Local Area Network.

Firewall

DHCP server

192.168.0.254

192.168.0.252

192.168.0.196

LAN Internet




FirewallNetwork Address Translation (NAT)

Il Network Address Translation è una tecnica che consiste nel modificare gli indirizzi IP dei pacchetti in transito su un sistema.

I firewall implementano il “source NAT” in quanto modificano l'indirizzo sorgente del pacchetto che inizia una nuova connessione.

Tutte le connessioni generate da un insieme di computer vengono "presentate" verso l'esterno con un solo indirizzo IP.

FIREWALL


FirewallConfigurazione

Configurazione di NAT (Network Address Translation)




FirewallConfigurazione avanzata

É possibile disabilitare la risposta alle richieste di ping provenienti dalla rete, ciò permette di rendere i firewall e i computer della rete interna “invisibili” alle richieste in rete.


FirewallTipologie

Vi sono diverse tipologie di firewall a seconda del livello in cui intervengono nell’analisi del pacchetto:

• Packet filtering firewall (stateless): analizzano i pacchetti del livello IP in base al loro indirizzo IP e porta.

• Circuit level gateways (stateful): analizzano i pacchetti a livello di sessione TCP e determinano se la sessione èlegittima

• Application level firewall (proxy firewall): operano a livello applicativo e quindi del protocollo utilizzato (ftp, telnet, ...) fino al filtrare alcuni comandi tipici del protocollo. A loro il compito di mantenere l’attività di logging.

• State Multilayer Inspection firewall combinano tutti gli aspetti precedentemente elencati

APPLICATION

TLS

TCP / UDP

IP

DATA LINK

PHYSICAL




FirewallStateless firewall

I firewall di tipo stateless analizzano il singolo pacchetto di rete.

Sono detti anche “packet filters”.

Essi analizzano le sole intestazioni dei pacchetti e sono in grado, opportunamente configurati, di filtrare determinati protocolli, e/o il traffico su determinate porte.

Sono molto veloci nell’ispezionare i pacchetti per cui non rallentano le comunicazioni in corso, ma non altrettanto sicuri per quanto riguarda la sicurezza.


FirewallStateless firewall

Un packet filter può essere configurato per bloccare tutti i pacchetti che dall’esterno affermano di avere un indirizzo IP assegnato all’interno di una rete nota.

In questo caso è quindi configurato per bloccare fenomeni di spoofing di indirizzi ai danni della rete interna.




FirewallServizi su internet

Elenco dei principali servizi in internet e porte standard e protocollo usato

Fonte internet


FirewallStateful Packet Inspection (SPI)

SPI sono firewall che mantengono memoria dello stato di una sessione in rete, ad es. iniziata, stabilita, finita.

La fase iniziale di una sessione (SYN) causa un’intensa attività lato server (allocazione di risorse per la comunicazione), alla fine della sessione tutte le risorse prima impegnate vengono rilasciate e sono libere per ospitare una nuova connessione.

Fonte Internet

TCP three way handshake




FirewallStateful Packet Inspection (SPI)

Un firewall SPI mantiene quindi una tabella delle sessioni attive in modo tale che qualunque pacchetto dati i cui estremi non rientrano nella tabella viene scartato a priori senza neanche essere processato con un risparmio di tempo e risorse.

Un firewall SPI analizza la sequenza dei pacchetti, da questa può riconoscere la sequenza tipica di un attacco informatico e quindi bloccarlo. Impiegati nella prevenzione di “Syn flood attack”

Una sessione attiva che però non riceve pacchetti per un certo tempo viene forzatamente chiusa dal firewall in modo da non occupare risorse di sistema inutilmente.


FirewallDoS – SYN flood

SYN flood sfrutta il meccanismo tipico della connessione TCP (three way handshake) ed eventualmente IP spoofing sull’indirizzo IP dell’hostsorgente.

Il risultato è l’impegno delle risorse del server che rimane in attesa di un segnale di ACK che non arriverà mai.

SYN

SYN/ACK

SYN

SYN/ACK

SYN FLOOD

SYN FLOOD IP SPOOFING

SERVER

SERVER




FirewallDoS – SYN flood

I firewall di tipo stateful sono in grado di capire l’inizio di un attacco Syn flood e scartare i pacchetti salvaguardando la rete interna da rischio di congestione e quindi di DoS.

SYN

Zona protettaInternet

SERVER


FirewallApplication o proxy firewall

I proxy firewall si interpongono tra le richieste di client ed i server veri e propri.

Essi operano a livello applicativo rigenerando le richieste (http, ftp, etc...) per conto dei client verso il server relativo. Così facendo possono effettuare controlli sui contenuti dei pacchetti permettendo funzioni di filtraggio a seconda per esempio del contenuto della pagina web richiesta. Ovviamente sono più lenti rispetto a firewall di tipo stateless.

WEB SERVERWeb Browser

PROXY FIREWALL




FirewallIn conclusione

In sintesi i principali punti relativi ai firewall

• I firewall riescono a proteggere un ambiente solo se ne controllano l’intero perimetro. Se un host interno si connette alla rete esterna bypassando il firewall (ad esempio tramite un modem) l’intera rete interna è vulnerabile attraverso il modem e l’host

• I firewall sono la parte più visibile dall’esterno di una rete di PC e quindi sono il bersaglio su cui si concentrano eventuali attacchi (certe volte è necessario avere diversi strati di protezione)

• I firewall esercitano un controllo minore (quasi assente) su quello che transita nella rete interna per cui i dati ivi in transito devono essere verificati da altri dispositivi (hw o sw)

• I firewall devono essere configurati correttamente e periodicamente aggiornati rispetto a cambia all’interno della rete che vanno a proteggere e rispetto a nuovi meccanismi di intrusione.

Firewall

Personal firewall




FirewallPersonal firewall

Personal firewall o firewall software sono applicazioni che monitorano il traffico di rete di uno specifico computer. Rispetto a firewall tradizionali (hardware) i firewall software sono installati su di una singolamacchina.

Il firewall può anche interagire con l'utente del PC chiedendo conferma di alcune azioni potenzialmente pericolose, come ad esempio permettere o impedire a un particolare programma di connettersi a Internet, individuando eventuali tentativi di intrusione nel proprio PC, bloccando la connettività se vi è il sospetto che un tale tentativo è in corso.

Da tenere presente che un firewall in locale sulla macchina offre maggiore protezione ma l’utilizzo è ulteriore carico (di memoria e computazionali) per le risorse della macchina.



Pagina di configurazione di Windows Live OneCare.

Accesso a internet dei singoli programmi

(per un confronto tra personal firewall http://www.programmifree.com/confronti/confronto-firewall08.htm)





Configurazione filtri in base al protocollo e/o numero di porta



Configurazione monitoraggio virus e spyware





Caratteristiche comuni dei personal firewall:• Avvisare l’utente di tentativi di connessione in uscita dando

informazioni puntuali sul nome del programma che sta tentando laconnessione.

• Possibilità di controllare puntualmente quali programmi installati sul computer possono connettersi in internet

• Monitorare le applicazioni che sono in ascolto in attesa di connessioni• Regolare traffico in ingresso ed in uscitaRischi• Possono essere colpiti da virus che ne vanificano l’effetto di controllo• Il numero di warning (se elevato) può ‘desensibilizzare’ l’utente finale

alla lettura attenta del messaggio.



Alcuni sistemi operativi integrano funzionalità di firewall.

Windows XP ha un proprio firewall “Windows Firewall”(http://www.microsoft.com/windowsxp/using/security/internet/sp2_wfintro.mspx ) che però non offre protezione per connessioni dall’interno verso l’esterno, con il rischio che software maligno riesca a creare connessioni con l’estero senza essere bloccato.

La versione di Windows Vista invece offre questa possibilità.

Linux utilizza il firewall iptables (netfilter) anche se non di facile configurazione.



Firewall

In conclusione


FirewallPros & Cons

VantaggiProtezione a differenti livelli del traffico di rete. Tutte le Local

Area Network (fosse anche una LAN formata da un singolo PC connesso in rete) dovrebbero installare un firewall.

SvantaggiLimitazione alla navigazione ed all’utilizzo delle risorse di rete.Causa di strozzature (“bottleneck”) nel traffico di rete in

quanto tutta l’attività di analisi dei pacchetti viene effettuata in un solo punto (il firewall).




Firewall Hardware vs. Software

Firewall software • Non richiede hardware aggiuntivo e relativi cablaggi• Buon compromesso per la protezione di singoli PCma...• Richiede licenza per ogni installazione • Deve essere installato (e configurato)• Protegge un solo PC quello in cui è installato

Firewall hardware• Integra funzionalità di firewall e instradamento (router + firewall)• Unico dispositivo che protegge diversi computer (almeno ha 4 porte a

cui è possibile collegare dei computer)ma...• Richiede hardware e cablaggi aggiuntivi (e configurazione)

09 Slides - Firewall Slides - Firewall.pdf · 2010. 5. 11. · Il traffico interno alla LAN con...

Documents

Transcript of 09 Slides - Firewall Slides - Firewall.pdf · 2010. 5. 11. · Il traffico interno alla LAN con...