I FIREWALL di Cardinali Davide. V EDREMO … Introduzione (cosa sono i firewall, limiti…)...

I FIREWALL

di Cardinali Davide

VEDREMO…

• Introduzione (cosa sono i firewall, limiti…)• Modalità di funzionamento• Tipi di Firewall • Architettura dei Firewall• Piccola Curiosità (semplici test per sicurezza firewall software)

COSA SONO I FIREWALL

• Firewall è un termine inglese dal significato originario di muro tagliafuoco ed è un componente passivo di difesa perimetrale che può anche svolgere funzioni di collegamento tra due o più tronconi di rete.

FIREWALL HARDWARE E SOFTWARE

Firewall Hardware : componente passivo che opera una difesa perimetrale della nostra rete locale (LAN).

Firewall Software o personal firewall :software che viene installato direttamente sul PC da proteggere. A differenza del firewall hardware, il personal firewall esegue anche un controllo a livello programma(monitorizza l’attività di scambio dati da e verso internet di tutto il software installato nel PC).

Punti di forzao corretto posizionamento nella reteo studio dei servizi che si vogliono fornireo impostazione delle regole pianificateo manutenzione e aggiornamento del firewallo manutenzione e aggiornamento della reteo verifica periodica dell’efficacia del sistemao consapevolezza dei limiti del firewall

Punti di debolezzao mancanza di amministrazioneo configurazioni troppo permissive verso “host” insicurio installazione di applicazioni o estensioni insicureo sovrabbondanza di servizi pubblicamente accessibilio concentrazione di sicurezza in un unico punto ed il dilagare di insicurezza circostanteo suscitare un falso senso di sicurezza per il fatto di “esserci”

I limiti di un firewall

Vi sono due tipologie principali che generano problemi di sicurezza :

configurazioni non corrette quando attraverso una configurazione, del sistema firewall, apposita si sarebbero potuti evitare incidenti (errori umani, errori di valutazione e conseguente impostazione)

problematiche tecniche quando nonostante sia stata fatta una configurazione ottima sul firewall, è possibile accedere ad un componente che si riteneva protetto sfruttando errori di programmazione o vulnerabilità del firewall.

Configurazioni non corretteIn generale la configurazione di un firewall non deve essere esclusivamente operativa ma deve essere sicura

Rosso = componenti rete non protetti da firewall rispetto attacchi da InternetRosso tratteggiato = secondo la tipologia del firewall e del traffico permesso nelle configurazioni, possibile che anche macchine difese dal firewall vengano attaccate

Esempi configurazioni non corrette : • permettere traffico dal mail server (insicuro) al web server o alla rete interna (LAN server)• permettere traffico verso eventuali servizi aperti sul firewall• permettere traffico dal web server alla rete interna• permettere traffico da Internet verso la rete interna

Problematiche TecnicheE’ testato che tutti i firewall abbiano avuto, essi stessi, problemi di sicurezza legati alla tecnologia utilizzata : errori di programmazione, errori di gestione delle eccezioni e quanti altri.

Problematiche tecniche legate al firewall possono rientrare nelle seguenti tipologie : • limiti di configurazione e mancanza di flessibilità nell’impostazione delle regole volute• suscettibilità a specifici attacchi• lentezza negli aggiornamenti• limiti di analisi del traffico (non tutti i firewall arrivano allo stesso livello!)• mancanza di protezione del traffico “legittimo”• reazione automatica a situazioni della rete• accentramento delle difese della rete in un unico strumento

Cosa non può fare un firewallEsistono problematiche che dovranno essere assegnate ad altri software perché non di competenza del firewall : Protezione da attacchi interni Una volta che il “muro” del firewall è stato oltrepassato quest’ultimo non è più di alcuna utilità. Uguale se l’attacco nasce all’interno della rete, infatti ci offre una protezione perimetrale e tutto ciò che è interno all’area è escluso dal filtraggio. Social Engineering Usato per indicare coloro che telefonano agli impiegati spacciandosi per membri della sicurezza così da estorcere preziose informazioni. Integrità dei dati Nonostante i moderni firewall controllino costantemente la presenza di virus nei pacchetti, è impensabile chiedere ai firewall in reti di grandi dimensioni di controllare tutti i pacchetti alla ricerca di virus. Ancor più difficilmente possono rilevare presenza cavalli di Troia che aprono una backdoor nello stesso computer. Soluzione: antivirus in tutte le macchine. Cattiva Configurazione Non è in grado di distinguere da solo ciò che va bloccato e ciò che va accettato. Quindi: qualità firewall = qualità configurazione.

MODALITA’ DI FUNZIONAMENTO

• Un firewall può operare in due modalità diametralmente opposte :

1.Tutto ciò che non è specificatamente permesso è negato

2.Tutto ciò che non è specificatamente negato è permesso


Tutto ciò che non è specificatamente permesso è negato

• Il firewall blocca tutto il traffico e ciascun servizio deve essere implementato caso per caso.

• Lo svantaggio : si limita il numero di scelte disponibili all’utente.


Tutto ciò che non è specificatamente negato è permesso

• Il firewall inoltra tutto il traffico e ciascun servizio dannoso deve essere chiuso caso per caso.

• Lo svantaggio : l’amministratore di rete ha difficoltà sempre maggiore nell’assicurare la sicurezza man mano che la rete cresce.

TIPOLOGIE DI FIREWALL

• I firewall si suddividono in tre tipologie:

Packet-Filtering router (1° generazione)

Stateful Inspection (2° generazione)

Gateway a livello di applicazione (o Proxy Server) (3° generazione)

PACKET FILTERING ROUTER

Le regole di filtraggio sono basate sulle informazioni contenute in un pacchetto di rete :

indirizzo IP sorgente indirizzo IP destinazione numeri di porta applicazioni coinvolte campo protocollo IP interfaccia

ICMP (CODICI DI ERRORE)

• Se un pacchetto viene scartato, puo’ succedere che il router restituisca un codice d’errore (ICMP).

– destination unreachable– destination administratively unreachable

•In generale restituire codici errore ICMP e’ dannoso perché sottopone il router a un ulteriore carico di lavoro, e quindi facilita l’esecuzione di un DoS. Inoltre consente di conoscere facilmente le regole di filtraggio del nostro sistema.

•Alcuni host reagiscono in maniera eccessiva agli errori ICMP

•Non restituire il codice di errore ICMP puo’ generare invece traffico inutile sulla rete

ATTACCO E DIFESAContraffazione Indirizzi IP (IP spoofing): l’avversario si potrebbe spacciare per un host interno alla rete protetta.

Difesa : bloccare i pacchetti provenienti dall’esterno con indirizzo ip sorgente di un host interno.

Attacchi di instradamento di sorgente(source routing): la stazione sorgente specifica l’instradamento che il pacchetto dovrebbe seguire dentro la rete, per evitare misure di sicurezza.

Difesa : scartare tutti i pacchetti che usano questa opzione, ovvero hanno source route nel campo option del datagramma IP.Attacchi con piccoli frammenti(Tiny Fragment): uso dell’opzione di frammentazione IP per creare frammenti molto piccoli che separano le informazioni dell’header TCP, allo scopo di evitare controlli basati proprio sull’header TCP.

Difesa : imporre regola che dica che il primo frammento di un pacchetto debba contenere una quantità predefinita minima dell’intestazione di trasporto.

ESEMPIO

-Le regole A e B permettono i collegamenti SMTP in viaggio di ritorno (cioè le e-mail entranti).- Le regole C e D permettono i collegamenti SMTP a destinazione esterna (cioè le e-mail uscenti).-La regola E è la regola di default che viene applicata se le altre regole non possono essere applicate.

Regola Direzione FonteIndirizzo

DestinazioneIndirizzo

Protocollo PortoDestinazione

Azione

A In Esterno Interno TCP 25 Licenza

B Out Interno Esterno TCP >1023 Licenza

C Out Interno Esterno TCP 25 Licenza

D In Esterno Interno TCP >1023 Licenza

E O Alcuno Alcuno Alcuno Alcuno Nega

Pacchetto

Direzione FonteIndirizzo


Protocollo Porto Dest.

Azione(da

regola)

1 In 192.168.3.4

172.16.1.1 TCP 25 Licenza(A)

2 Out 172.16.1.1 192.168.3.4 TCP 1234 Licenza(B)

• La regola A permette ai pacchetti in partenza dal client SMTP di andare al suo SMTP server (rappresentato dal pacchetto 1)• La regola B permette alle risposte dal suo server SMTP di andare al client SMTP (rappresentato dal pacchetto 2)




Azione






COSA SUCCEDE PER UN’E-MAIL IN PARTENZA DA NOI VERSO L’ESTERNO?

Pacchetto Direzione FonteIndirizzo

Destinazione

Indirizzo

Protocollo

Porto Dest.

Azione(da

Regola)

3 Out 172.16.1.1 192.168.3.4 TCP 25 Licenza(C)

4 In 192.168.3.4 172.16.1.1 TCP 1357 Licenza(D)

• La regola C permette ai pacchetti in partenza dal nostro client SMTP di andare al server SMTP esterno (pacchetto numero 3)• La regola D permette alle risposte partenti dal server SMTP esterno di andare al nostro client SMTP (pacchetto numero 4)




Azione






MESCOLIAMO, ORA, LE CARTE…..



Protocollo Porto Dest.

Azione(da

Regola)

5 In 10.1.2.3 172.16.3.4 TCP 6000 Licenza(D)

6 Out 172.16.3.4 10.1.2.3 TCP 5150 Licenza(B)

• Le regole A e B permettono i collegamenti SMTP in viaggio di ritorno• Le regole C e D permettono i collegamenti SMTP a destinazione esterna• ma B e D permettono tutti i collegamenti dove entrambi gli ends stanno usando dei porti superiori di 1023, e questo non è certamente quello che noi volevamo




Azione






RIFORMULAZIONE REGOLE CON PORTO DI FONTE COME CRITERIO DI CONTROLLO


Destinazione

Indirizzo

Protocollo

PortoFonte

PortoDest.

Azione

A In Esterno Interno TCP >1023 25 Licenza

B Out Interno Esterno TCP 25 >1023 Licenza

C Out Interno Esterno TCP >1023 25 Licenza

D In Esterno Interno TCP 25 >1023 Licenza

E O Alcuno Alcuno Alcuno Alcuno Alcuno Nega

Pacchetto

Direzione FonteIndirizzo

Destinazione

Indirizzo

Prot. PortoFonte

PortoDest.

Azione

1 In 192.168.3.4 172.16.1.1 TCP 1234 25 Licenza(A)

2 Out 172.16.1.1 192.168.3.4 TCP 25 1234 Licenza(B)

3 Out 172.16.1.1 192.168.3.4 TCP 1357 25 Licenza(C)

4 In 192.168.3.4 172.16.1.1 TCP 25 1357 Licenza(D)

5 In 10.1.2.3 172.16.3.4 TCP 5150 6000 Nega(E)

6 Out 172.16.3.4 10.1.2.3 TCP 6000 5150 Nega(E)

SE L’ASSALITORE È PIÙ INTELLIGENTE?



Protocollo

Porto Fonte

PortoDest.

Azione(da

Regola)

7 In 10.1.2.3 172.16.3.4 TCP 25 6000 Licenza(D)

8 Out 172.16.3.4 10.1.2.3 TCP 6000 25 Licenza(C)

Attacco : SUCCESSO!!!!!


Destinazione

Indirizzo

Protocollo

PortoFonte

PortoDest.

Azione

A In Esterno Interno TCP >1023 25 Licenza

B Out Interno Esterno TCP 25 >1023 Licenza

C Out Interno Esterno TCP >1023 25 Licenza

D In Esterno Interno TCP 25 >1023 Licenza

E O Alcuno Alcuno Alcuno Alcuno Alcuno Nega

COSA SI PUÒ FARE?Regola Direzione Fonte

IndirizzoDestinazion

e Indirizzo

Protocollo

PortoFonte

PortoDest.

SetACK

Azione

A In Esterno Interno TCP >1023 25 Alcuno Licenza

B Out Interno Esterno TCP 25 >1023 Si Licenza

C Out Interno Esterno TCP >1023 25 Alcuno Licenza

D In Esterno Interno TCP 25 >1023 Si Licenza

E O Alcuno Alcuno Alcuno Alcuno Alcuno Alcuno Nega

Pacchetto

Direz. FonteIndir.

Destinazione

Indirizzo

Protocollo PortoFonte

PortoDest.

SetACK

Azione(da Regola)

7 In 10.1.2.3 172.16.3.4 TCP 25 6000 No Nega(E)

Cosa farà ora il pacchetto 7?

FALLIRA’!!!!!!!

VANTAGGI E LIMITAZIONI

Vantaggi : è disponibile in molti router. costo d’acquisto contenuto. trasparenza. (non lavora a livello applicativo, quindi non ostacola il normale utilizzo della rete, lavorando in maniera trasparente all’utente). velocità. (tecnologia firewall che effettua meno controlli, e per questo è la più veloce).

Limiti : regole difficili da configurare. testing complesso.(fare prove per verificare funzionamento firewall risulta complicato) può avere bug (più frequenti nel packet filtering rispetto al proxying).

STATEFUL PACKET FILTERING• successivi alla tecnica del filtraggio dei pacchetti (seconda generazione).• quando viene stabilita una connessione, se le regole di filtraggio non la bloccano, allora le informazioni relative ad essa diventano entry di una tabella di stato.• successivi pacchetti in ingresso saranno valutati in base all’appartenenza ad una delle connessioni consentite presenti nella tabella.• quando la connessione è conclusa, la entry nella tabella sarà cancellata, per evitare che questa si riempia completamente• informazioni riguardanti la connessione che verranno memorizzate :

- identificatore univoco collegamento sessione- stato connessione (handshaking se siamo in fase iniziale ovvero

dove raccogliamo info e mettiamo in tabella stato, established, closing)

- informazioni sequenzialità pacchetti- indirizzi ip host sorgente e destinazione- interfacce di rete utilizzate

Esempio tabella di stato:

Source address

Source port Dest. Address

Dest. Port

Connection state

192.168.0.199 1051 192.168.1.10 80 Handshaking

192.168.0.212 1109 192.168.1.23 25 Closing

192.168.3.105 1212 192.168.0.111 80 Established

VANTAGGI E LIMITAZIONI

Vantaggi : buon rapporto prestazioni/sicurezza.(tipologia firewall con più alte performance, perché è quella che effettua meno controlli sulla connessione;nonostante ciò più affidabile di pfr). protezione da IP spoofing.(il controllo non si limita al singolo ip o alla porta, è molto più difficile aggirare il firewall. Per lo spoofing frammentare il più possibile il pacchetto per aggirare la verifica delle informazioni dell’header non è efficace, perché variabili in gioco sono molte di più). Tutti i vantaggi del packet filtering.(essendone una evoluzione ne ereditano tutti i fattori positivi).

Limiti : mancanza servizi aggiuntivi.(non potendo agire a livello di applicazione non sono disponibili servizi come gestione delle autenticazioni). testing complesso.(verificare corretta configurazione firewall non è facile)

APPLICATION-LEVEL GATEWAYS

• Applica una politica di sicurezza molto più severa di un packet filtering router.

• Viene installato un programma mirato (un servizio proxy) sul gateway, per ogni applicazione desiderata.

• Se l’amministratore di rete non installa il programma proxy per un’applicazione particolare, il servizio non è supportato e non può essere inoltrato attraverso il firewall.


VANTAGGI

•Controllo completo.(non fa verifiche contenute solo alle informazioni contenute nell’header del pacchetto, ma usa anche quelle contenute nel body(cioè la parte applicativa).Il controllo avviene due volte: quando viene inviata la richiesta e quando si riceve la risposta).• Log dettagliati. (informazioni memorizzate sono molto accurate, oltre a quelle contenute negli header dei pacchetti potranno essere utilizzate anche quelle di livello applicativo).• Nessuna connessione diretta. (ogni volta i pacchetti in entrata e uscita vengono totalmente rigenerati).• Sicurezza anche in caso di crash. (un crash di un packet filter permetterebbe a qualunque pacchetto di viaggiare indisturbato, mentre un crash del proxy bloccherebbe completamente la connessione).• Supporto per connessioni multiple.(un firewall di prima o seconda generazione non capisce se connessioni separate appartengono alla stessa applicazione, un apllication gateway può farlo).• User-friendly.(regole di filtraggio molto più facili da configurare rispetto a quelle di un packet filtering router).• Autenticazione. (supportano un’autenticazione rigida dell’utente).


SVANTAGGI

• Costo• Difficoltà di amministrazione• Costo di mantenimento maggiori•Poco trasparente. (i computer interni devono essere configurati per utilizzare il proxy invece di collegarsi direttamente al server).• Un proxy per ogni applicazione. (per ogni servizio che si vuole fare passare attraverso il firewall che implementa questa tecnologia c’è bisogno di un proxy dedicato).• Basse performance. (gestione delle connessioni attraverso il proxy richiede molto lavoro per la cpu, diversamente dai firewall delle generazioni precedenti).

ARCHITETTURADEI

FIREWALL

PRINCIPI FONDAMENTALI PER PROGETTAZIONE FIREWALL:

La separazione di reti con requisiti e criticità diverse.

La ridondanza delle protezioni

La difesa in profondità

Flessibilità

Semplicità

Controllo

Conseguenze:1.Creazione delle cosidette DMZ (zone demilitarizzate).

2.Firewall con unico componente non soddisfa buona parte dei principi esposti

ARCHITETTURA DEI FIREWALL

• Le architetture sono principalmente tre :

1.Dual Homed Host

2.Screening Host Architecture

3.Screening Subnet Architecture

BASTION HOST • Bastion Host = tutti quei Firewall host critici per la sicurezza della rete.• La sua più classica configurazione è quella di primo ed unico punto di contatto tra privato e pubblico dominio.

DUAL HOMED HOST• Disabilitando la funzione di routing, si separano fisicamente i due segmenti di rete.• Sul dual-homed host vengono eseguiti applicativi, che vengono definiti store- and-forward services, come SMTP(gestisce smistamento e-mail tra le due reti con ausilio di tavole di filtraggio opportunamente configurate).

SCREENED HOST ARCHITECTURE

SCREENED HOST ARCHITECTURE

• Il collegamento a Internet è assicurato dallo screening router che filtra i pacchetti sia in entrata che in uscita della rete.

• La sicurezza è determinata dal software che viene eseguito sul bastion host.

• Se un hacker ottiene un login sulla macchina avrà una vasta possibilità di attacchi verso la rete interna.

SCREENED SUBNET ARCHITECTURE

PICCOLA CURIOSITA’

Elenco test per la sicurezza dei firewall:• Leaktest (tipo di test : sostituzione) In questo test viene rinominata l'applicazione (Leaktest) in una che ha l'autorizzazione per uscire e quindi per bypassare il firewall. Attualmente i firewall dispongono di una firma digitale per le applicazioni, in questo modo si accorgono del tentativo di aggiramento. Se il firewall viene aggirato dimostra che questo si limita ad lasciar passare tutte quelle applicazioni che hanno il nome nella lista di quelle permesse.• TooLeaky(tipo di test : avvio applicazione) Viene aperta in modo nascosto una finestra di Internet Explorer e se il browser ha il permesso per accedere a internet trasmette le informazioni attraverso la porta 80. Se il test ha successo, significa che il firewall non controlla quale applicazione ha avviato un'altra con accesso a internet.• FireHole(tipo di test : avvio applicazione e DLL Injection) In questo test viene usato il browser di default per inviare dati verso l'esterno. Per fare questo viene installata una DLL nello stesso spazio di indirizzamento di un processo che ha il permesso per uscire. Se il test ha successo indica che il firewall non controlla quali applicazioni chiamano quelle con accesso ad internet ed in più è vulnerabile al DLL Injection.

ALTRI TIPI DI TEST

Test Tipo di test

Yalta Test su regole e su collegamento alla rete

WallBreaker Avvio applicazione

PcAudit 3 DLL Injection

Ghost Avvio applicazione e Timing Attack

AWFT3 Implementa diversi test

Thermite DLL Injection

…….. ……..

E' bene precisare che questo test non deve essere preso come modello per stabilire quale firewall è migliore ma è utile per avere una visione sulle differenza che esistono tra i firewall in relazione ai leaktest.

Prodotto Score Prodotto Levello protezione Anti-leak

Online Armor Personal Firewall 2.1.0.19 FreeFREE

9625 Excellent – 100 %

Outpost Firewall Pro 2008 6.0.2162.205.402.266

9625 Excellent – 100 %

Comodo Firewall Pro 2.4.18.184FREE

9475 Excellent

Jetico Personal Firewall 2.0.0.35

9375 Excellent

ZoneAlarm Pro 7.0.408.000 8600 Very Good

Jetico Personal Firewall 1.0.1.61 FreewareFREE

7750 Very Good

Dynamic Security Agent 1.0.8.8FREE

7375 Good

PC Tools Firewall Plus 3.0.0.36FREE

5825 Poor

McAfee Internet Security Suite 2006 8.0

2325 Very Poor

ZoneAlarm Free 7.0.302.000FREE

1500 Very Poor

Windows Firewall XP SP2FREE

0 None

BIBLIOGRAFIA William Stallings, Sicurezza delle reti – Edizione Italiana Mc Graw Hill - Sicurezza Informatica Maurizio Cinotti – Internet Security (2006) www.wikipedia.org www.sicurezzainformatica.it www.chrisneel.it/articolo/firewall www.upyou.it www.matousec.com (per test sicurezza firewall)

I FIREWALL di Cardinali Davide. V EDREMO … Introduzione (cosa sono i firewall, limiti…)...

Documents

Transcript of I FIREWALL di Cardinali Davide. V EDREMO … Introduzione (cosa sono i firewall, limiti…)...