09 Slides - Firewall Slides - Firewall.pdf · 2010. 5. 11. · Il traffico interno alla LAN con...
Transcript of 09 Slides - Firewall Slides - Firewall.pdf · 2010. 5. 11. · Il traffico interno alla LAN con...
SeQ dei serivzi su internet
© 2009 Università degli Studi di Pavia, C.Parisi 1
Firewall
Generalità
© 2009 Università degli Studi di Pavia, C.Parisi 2
FirewallDefinizione
Un firewall è un sistema che protegge i computer connessi in rete da attacchi intenzionali mirati a compromettere il funzionamento del sistema, alterare i dati ivi memorizzati, accedere a risorse private, effettuare attacchi di tipi DoS.
Un firewall può essere sia un apparato hardware sia un programmasoftware.
Esso presenta due interfacce di rete e quindi è associato a due IP addressdiversi:
• IP pubblico che identifica la rete a cui è esposto • IP privato che identifica la rete interna che protegge
SeQ dei serivzi su internet
© 2009 Università degli Studi di Pavia, C.Parisi 2
© 2009 Università degli Studi di Pavia, C.Parisi 3
FirewallEsempi
Esempio di applicazione di un firewall per proteggere una rete privata interna (SOHO home, etc...) dalla rete pubblica (Internet).
Il traffico interno alla LAN con firewall viaggi su di una rete “trusted”, mentre quello esterno “untrusted”.
Fonte Internet
© 2009 Università degli Studi di Pavia, C.Parisi 4
FirewallConfigurazione - WAN
Indirizzo “Pubblico”
SeQ dei serivzi su internet
© 2009 Università degli Studi di Pavia, C.Parisi 3
© 2009 Università degli Studi di Pavia, C.Parisi 5
FirewallConfigurazione - LAN
Indirizzo “Privato” interno.
© 2009 Università degli Studi di Pavia, C.Parisi 6
FirewallEsempi
Esempio di applicazione di un firewall in una rete con un web server e ftp server.
Notare come i due server (WWW server e FTP server) siano collocati al di fuori della zona “trusted” in quanto devono essere visibili alla rete pubblica.
Un firewall NON può filtrare e/o controllare il traffico generato da un modem collegato con la rete pubblica all’interno della trusted zone. Fonte Internet
SeQ dei serivzi su internet
© 2009 Università degli Studi di Pavia, C.Parisi 4
Firewall
Tipologie e Funzioni
© 2009 Università degli Studi di Pavia, C.Parisi 8
FirewallFunzioni
Un firewall esamina il traffico di rete che transita tra le zone trusted ed untrusted e verifica che rispetti determinati criteri. In particolare può:
• Bloccare l’ingresso e/o l’uscita di pacchetti in base all’indirizzo IP del mittente/destinatario e/o la porta utilizzata (IP filtering o packetfiltering)
• Bloccare l’ingresso e/o l’uscita di pacchetti in base al tipo di protocollo utilizzato (protocol filtering).
• Gestire l’accesso pubblico ad applicazioni e/o risorse (es. stampante) private.
• Produrre il log di tutti i pacchetti transitati attraverso di esso o di quelli che sono stati rifiutati in quanto non rispondenti alle regole.
• Inviare in automatico messaggi (sottoforma di e-mail) al responsabile della rete all’insorgere di tentativi di accesso non autorizzato.
SeQ dei serivzi su internet
© 2009 Università degli Studi di Pavia, C.Parisi 5
© 2009 Università degli Studi di Pavia, C.Parisi 9
FirewallOperazioni
Schema di funzionamento del firewall.
Blocca l’uscita di pacchetti dalla rete trusted verso Internet (ad es. perchè diretti verso siti configurati come non attendibili).
Blocca l’ingresso di pacchetto dalla rete pubblica (ad es. tentativi di connessioni telnet, ftp, ping, etc...)
Fonte Internet
© 2009 Università degli Studi di Pavia, C.Parisi 10
FirewallConfigurazione - LAN
In particolare il firewall può essere configurato come DHCP server (Dynamic Host Control Protocol) per la LAN interna.
SeQ dei serivzi su internet
© 2009 Università degli Studi di Pavia, C.Parisi 6
© 2009 Università degli Studi di Pavia, C.Parisi 11
FirewallDynamic Host Control Protocol (DHCP)
Il DHCP è un protocollo usato per assegnare dinamicamente gli indirizzi IP ai calcolatori di una rete.
L’architettura è di tipo client/server
• DHCP server è la macchina che assegna gli indirizzi (es. firewall router della pagina precedente)
• DHCP client il computer che ha bisogno di ottenere un indirizzo valido nella sottorete.
© 2009 Università degli Studi di Pavia, C.Parisi 12
FirewallDynamic Host Control Protocol (DHCP)
Nella figura la lista degli indirizzi assegnati ai computer connessi alla Local Area Network.
Firewall
DHCP server
192.168.0.254
192.168.0.252
192.168.0.196
LAN Internet
SeQ dei serivzi su internet
© 2009 Università degli Studi di Pavia, C.Parisi 7
© 2009 Università degli Studi di Pavia, C.Parisi 13
FirewallNetwork Address Translation (NAT)
Il Network Address Translation è una tecnica che consiste nel modificare gli indirizzi IP dei pacchetti in transito su un sistema.
I firewall implementano il “source NAT” in quanto modificano l'indirizzo sorgente del pacchetto che inizia una nuova connessione.
Tutte le connessioni generate da un insieme di computer vengono "presentate" verso l'esterno con un solo indirizzo IP.
FIREWALL
© 2009 Università degli Studi di Pavia, C.Parisi 14
FirewallConfigurazione
Configurazione di NAT (Network Address Translation)
SeQ dei serivzi su internet
© 2009 Università degli Studi di Pavia, C.Parisi 8
© 2009 Università degli Studi di Pavia, C.Parisi 15
FirewallConfigurazione avanzata
É possibile disabilitare la risposta alle richieste di ping provenienti dalla rete, ciò permette di rendere i firewall e i computer della rete interna “invisibili” alle richieste in rete.
© 2009 Università degli Studi di Pavia, C.Parisi 16
FirewallTipologie
Vi sono diverse tipologie di firewall a seconda del livello in cui intervengono nell’analisi del pacchetto:
• Packet filtering firewall (stateless): analizzano i pacchetti del livello IP in base al loro indirizzo IP e porta.
• Circuit level gateways (stateful): analizzano i pacchetti a livello di sessione TCP e determinano se la sessione èlegittima
• Application level firewall (proxy firewall): operano a livello applicativo e quindi del protocollo utilizzato (ftp, telnet, ...) fino al filtrare alcuni comandi tipici del protocollo. A loro il compito di mantenere l’attività di logging.
• State Multilayer Inspection firewall combinano tutti gli aspetti precedentemente elencati
APPLICATION
TLS
TCP / UDP
IP
DATA LINK
PHYSICAL
SeQ dei serivzi su internet
© 2009 Università degli Studi di Pavia, C.Parisi 9
© 2009 Università degli Studi di Pavia, C.Parisi 17
FirewallStateless firewall
I firewall di tipo stateless analizzano il singolo pacchetto di rete.
Sono detti anche “packet filters”.
Essi analizzano le sole intestazioni dei pacchetti e sono in grado, opportunamente configurati, di filtrare determinati protocolli, e/o il traffico su determinate porte.
Sono molto veloci nell’ispezionare i pacchetti per cui non rallentano le comunicazioni in corso, ma non altrettanto sicuri per quanto riguarda la sicurezza.
© 2009 Università degli Studi di Pavia, C.Parisi 18
FirewallStateless firewall
Un packet filter può essere configurato per bloccare tutti i pacchetti che dall’esterno affermano di avere un indirizzo IP assegnato all’interno di una rete nota.
In questo caso è quindi configurato per bloccare fenomeni di spoofing di indirizzi ai danni della rete interna.
SeQ dei serivzi su internet
© 2009 Università degli Studi di Pavia, C.Parisi 10
© 2009 Università degli Studi di Pavia, C.Parisi 19
FirewallServizi su internet
Elenco dei principali servizi in internet e porte standard e protocollo usato
Fonte internet
© 2009 Università degli Studi di Pavia, C.Parisi 20
FirewallStateful Packet Inspection (SPI)
SPI sono firewall che mantengono memoria dello stato di una sessione in rete, ad es. iniziata, stabilita, finita.
La fase iniziale di una sessione (SYN) causa un’intensa attività lato server (allocazione di risorse per la comunicazione), alla fine della sessione tutte le risorse prima impegnate vengono rilasciate e sono libere per ospitare una nuova connessione.
Fonte Internet
TCP three way handshake
SeQ dei serivzi su internet
© 2009 Università degli Studi di Pavia, C.Parisi 11
© 2009 Università degli Studi di Pavia, C.Parisi 21
FirewallStateful Packet Inspection (SPI)
Un firewall SPI mantiene quindi una tabella delle sessioni attive in modo tale che qualunque pacchetto dati i cui estremi non rientrano nella tabella viene scartato a priori senza neanche essere processato con un risparmio di tempo e risorse.
Un firewall SPI analizza la sequenza dei pacchetti, da questa può riconoscere la sequenza tipica di un attacco informatico e quindi bloccarlo. Impiegati nella prevenzione di “Syn flood attack”
Una sessione attiva che però non riceve pacchetti per un certo tempo viene forzatamente chiusa dal firewall in modo da non occupare risorse di sistema inutilmente.
© 2009 Università degli Studi di Pavia, C.Parisi 22
FirewallDoS – SYN flood
SYN flood sfrutta il meccanismo tipico della connessione TCP (three way handshake) ed eventualmente IP spoofing sull’indirizzo IP dell’hostsorgente.
Il risultato è l’impegno delle risorse del server che rimane in attesa di un segnale di ACK che non arriverà mai.
SYN
SYN/ACK
SYN
SYN/ACK
SYN FLOOD
SYN FLOOD IP SPOOFING
SERVER
SERVER
SeQ dei serivzi su internet
© 2009 Università degli Studi di Pavia, C.Parisi 12
© 2009 Università degli Studi di Pavia, C.Parisi 23
FirewallDoS – SYN flood
I firewall di tipo stateful sono in grado di capire l’inizio di un attacco Syn flood e scartare i pacchetti salvaguardando la rete interna da rischio di congestione e quindi di DoS.
SYN
Zona protettaInternet
SERVER
© 2009 Università degli Studi di Pavia, C.Parisi 24
FirewallApplication o proxy firewall
I proxy firewall si interpongono tra le richieste di client ed i server veri e propri.
Essi operano a livello applicativo rigenerando le richieste (http, ftp, etc...) per conto dei client verso il server relativo. Così facendo possono effettuare controlli sui contenuti dei pacchetti permettendo funzioni di filtraggio a seconda per esempio del contenuto della pagina web richiesta. Ovviamente sono più lenti rispetto a firewall di tipo stateless.
WEB SERVERWeb Browser
PROXY FIREWALL
SeQ dei serivzi su internet
© 2009 Università degli Studi di Pavia, C.Parisi 13
© 2009 Università degli Studi di Pavia, C.Parisi 25
FirewallIn conclusione
In sintesi i principali punti relativi ai firewall
• I firewall riescono a proteggere un ambiente solo se ne controllano l’intero perimetro. Se un host interno si connette alla rete esterna bypassando il firewall (ad esempio tramite un modem) l’intera rete interna è vulnerabile attraverso il modem e l’host
• I firewall sono la parte più visibile dall’esterno di una rete di PC e quindi sono il bersaglio su cui si concentrano eventuali attacchi (certe volte è necessario avere diversi strati di protezione)
• I firewall esercitano un controllo minore (quasi assente) su quello che transita nella rete interna per cui i dati ivi in transito devono essere verificati da altri dispositivi (hw o sw)
• I firewall devono essere configurati correttamente e periodicamente aggiornati rispetto a cambia all’interno della rete che vanno a proteggere e rispetto a nuovi meccanismi di intrusione.
Firewall
Personal firewall
SeQ dei serivzi su internet
© 2009 Università degli Studi di Pavia, C.Parisi 14
© 2009 Università degli Studi di Pavia, C.Parisi 27
FirewallPersonal firewall
Personal firewall o firewall software sono applicazioni che monitorano il traffico di rete di uno specifico computer. Rispetto a firewall tradizionali (hardware) i firewall software sono installati su di una singolamacchina.
Il firewall può anche interagire con l'utente del PC chiedendo conferma di alcune azioni potenzialmente pericolose, come ad esempio permettere o impedire a un particolare programma di connettersi a Internet, individuando eventuali tentativi di intrusione nel proprio PC, bloccando la connettività se vi è il sospetto che un tale tentativo è in corso.
Da tenere presente che un firewall in locale sulla macchina offre maggiore protezione ma l’utilizzo è ulteriore carico (di memoria e computazionali) per le risorse della macchina.
© 2009 Università degli Studi di Pavia, C.Parisi 28
FirewallPersonal firewall
Pagina di configurazione di Windows Live OneCare.
Accesso a internet dei singoli programmi
(per un confronto tra personal firewall http://www.programmifree.com/confronti/confronto-firewall08.htm)
SeQ dei serivzi su internet
© 2009 Università degli Studi di Pavia, C.Parisi 15
© 2009 Università degli Studi di Pavia, C.Parisi 29
FirewallPersonal firewall
Configurazione filtri in base al protocollo e/o numero di porta
© 2009 Università degli Studi di Pavia, C.Parisi 30
FirewallPersonal firewall
Configurazione monitoraggio virus e spyware
SeQ dei serivzi su internet
© 2009 Università degli Studi di Pavia, C.Parisi 16
© 2009 Università degli Studi di Pavia, C.Parisi 31
FirewallPersonal firewall
Caratteristiche comuni dei personal firewall:• Avvisare l’utente di tentativi di connessione in uscita dando
informazioni puntuali sul nome del programma che sta tentando laconnessione.
• Possibilità di controllare puntualmente quali programmi installati sul computer possono connettersi in internet
• Monitorare le applicazioni che sono in ascolto in attesa di connessioni• Regolare traffico in ingresso ed in uscitaRischi• Possono essere colpiti da virus che ne vanificano l’effetto di controllo• Il numero di warning (se elevato) può ‘desensibilizzare’ l’utente finale
alla lettura attenta del messaggio.
© 2009 Università degli Studi di Pavia, C.Parisi 32
FirewallPersonal firewall
Alcuni sistemi operativi integrano funzionalità di firewall.
Windows XP ha un proprio firewall “Windows Firewall”(http://www.microsoft.com/windowsxp/using/security/internet/sp2_wfintro.mspx ) che però non offre protezione per connessioni dall’interno verso l’esterno, con il rischio che software maligno riesca a creare connessioni con l’estero senza essere bloccato.
La versione di Windows Vista invece offre questa possibilità.
Linux utilizza il firewall iptables (netfilter) anche se non di facile configurazione.
SeQ dei serivzi su internet
© 2009 Università degli Studi di Pavia, C.Parisi 17
Firewall
In conclusione
© 2009 Università degli Studi di Pavia, C.Parisi 34
FirewallPros & Cons
VantaggiProtezione a differenti livelli del traffico di rete. Tutte le Local
Area Network (fosse anche una LAN formata da un singolo PC connesso in rete) dovrebbero installare un firewall.
SvantaggiLimitazione alla navigazione ed all’utilizzo delle risorse di rete.Causa di strozzature (“bottleneck”) nel traffico di rete in
quanto tutta l’attività di analisi dei pacchetti viene effettuata in un solo punto (il firewall).
SeQ dei serivzi su internet
© 2009 Università degli Studi di Pavia, C.Parisi 18
© 2009 Università degli Studi di Pavia, C.Parisi 35
Firewall Hardware vs. Software
Firewall software • Non richiede hardware aggiuntivo e relativi cablaggi• Buon compromesso per la protezione di singoli PCma...• Richiede licenza per ogni installazione • Deve essere installato (e configurato)• Protegge un solo PC quello in cui è installato
Firewall hardware• Integra funzionalità di firewall e instradamento (router + firewall)• Unico dispositivo che protegge diversi computer (almeno ha 4 porte a
cui è possibile collegare dei computer)ma...• Richiede hardware e cablaggi aggiuntivi (e configurazione)