Firewall sicurezza informatica

Esame Sicurezza informatica

Facoltà Ingegneria

Università Università degli Studi di Roma Tor Vergata

Appunto

Appunti di Sicurezza informatica su Firewall sicurezza informatica basati su appunti personali del publisher presi alle lezioni del prof. Naldi dell’università degli Studi di Tor Vergata - Uniroma2, facoltà di ingegneria, Corso di laurea in ingegneria informatica. Scarica il file in formato PDF!

…continua

Anteprima

Vedrai una selezione di 1 pagina su 4

Disdici quando
vuoi

Acquista con carta
o PayPal

Scarica i documenti
tutte le volte che vuoi

Estratto del documento

Controllo degli accessi

per quanto riguarda il controllo degli accessi è chiamato anche NAC (network access control); è un

termine generico per definire il sistema di gestione degli accessi alla rete; si occupa di autenticare

gli utenti e di determinare quali operazioni possono fare. Gli elementi di un sistema di controllo

degli accessi sono:

AR (access requester) è il dispositivo che sta cercando di accedere alla rete (workstation,

- server, stampanti, fotocamere ed altri dispositivi abilitati per IP)

Politicy server: determina il tipo di accesso che si può autorizzare.

- NAS (network access server) funziona come punto di controllo degli accessi per utenti che

- da remoto vogliono accedere ad una rete interna.

AAA

Un aspetto fondamentale delle reti è la loro sicurezza. Una rete è considerata sicura quando

garantisce il controllo degli accessi e assicura la tracciabilità delle operazioni effettuate. Fa parte

delle politiche di sicurezza la messa in produzione di un sistema di controllo che tenga traccia di chi

ha effettuato l’accesso, del momento in cui è avvenuto l’accesso e cosa è stato fatto nel periodo di

connessione. La tracciabilità deve riguardare tanto gli amministratori di rete, quanto gli utenti

aziendali e quelli remoti.

Sui router Cisco, la configurazione degli accessi utilizzando solo la password per la modalità utente

è un metodo limitato, non scalabile e poco sicuro. E’ preferibile utilizzare una modalità basata su

database che crei singoli account utente, ognuno con una specifica password. La sicurezza aumenta

sia perché viene tracciato il log-in degli utenti, sia perché un eventuale attaccante dovrebbe

conoscere, oltre alla password, anche il nome utente.

L’uso del database locale rappresenta solo una premessa al sistema di autenticazione: l’infrastruttura

AAA, acronimo di Authentication, Authorization and Accounting. Si tratta di una modalità di

accesso più sicura e scalabile, con le seguenti caratteristiche:

Authentication (autenticazione) - Gli utenti e gli amministratori devono dimostrare che

• sono chi dicono di essere. L'autenticazione può essere stabilita tramite combinazioni di

username e password, domande di challenge (sfida), token cards, e altri metodi.

Authorization (autorizzazione) - Dopo che l'utente è stato autenticato, i servizi di

• autorizzazione individuano le risorse a cui l'utente può accedere e quali operazioni l'utente è

autorizzato a svolgere.

Accounting and auditing (tracciabilità) – Vengono registrate le azioni eseguite dagli utenti:

• a quali risorse si è potuto accedere, la quantità di tempo trascorsa su queste risorse, e le

eventuali modifiche apportate.

Il concetto del protocollo AAA è simile all'uso di una carta di credito: la carta di credito identifica

chi può usarla, quanto l'utente può spendere, e per cosa sono stati spesi i soldi.

Per gli accessi, AAA prevede l’uso contemporaneo di username e password memorizzate su un

database, che può risiedere sul router stesso o in rete su un Access Control Server (ACS).

Quest’ultima soluzione permette di gestire gli accessi ed il controllo centralizzato per tutti i router

presenti in rete, sfruttando i protocolli RADIUS . Con il metodo del database locale, l'account

utente deve essere configurato localmente su ogni dispositivo e, in ambienti con più router e switch

da gestire, implementare e modificare database locali su ogni dispositivo potrebbe rappresentare

una grave perdita di tempo. Inoltre, la configurazione del database locale non fornisce alcun metodo

di autenticazione alternativo, utile se ad esempio l'amministratore dimentica il nome utente e/o la

password.

I metodi più diffusi per il controllo degli accessi sono:

Firewall

- IEEE 802.IX

- VLAN

FIREWALL

Un firewall è un dispositivo di sicurezza della rete che autorizza o rifiuta l'accesso di rete ai flussi di

traffico tra una zona non attendibile.

I firewall si usano perché i meccanismi di sicurezza implementati da un singolo host non sono

tipicamente sufficienti; una possibile difesa è costituita quindi dai firewall che si interpongono tra la

rete interna ed Internet fornendo una difesa di perimetro.

I requisiti del firewall sono che tutto il traffico (sia quello entrante che quello uscente) deve passare

dal firewall dove solo il traffico autorizzato può passare; inoltre queste autorizzazioni sono definite

in base ad una politica di sicurezza locale ed il firewall deve essere estremamente sicuro.

Possiamo dire inoltre che i firewall hanno diverse limitazioni che sono:

Non protegge da attacchi che bypassano il firewall

- Non protegge da minacce interne

- Non protegge da dispositivi infettati e connessi alla rete interna

Ci sono diverse tipologie di firewall:

Packet fitering firewall

- State full inspection firewall

- Application level gateway

- Circuit level gateway

Basic Packet Filter

Il primo e più elementare tipo di firewall ad essere trattato è denominato packet filter. Questi

firewall lavoravano al livello 3 del modello OSI, conosciuto anche come lo strato di rete.

I packet filter lavoravano primariamente sulla base di due parametri all’interno dei pacchetti:

l’indirizzo IP del sorgente e del destinatario. Tuttavia erano anche in grado di guardare (e filtrare) il

campo Protocol dell’header IP.

Questa tipologia permette di applicare un insieme di regole ad ogni pacchetto in modo da decidere

se far passare o scartare il pacchetto; queste regole si basano su: indirizzo IP origine, indirizzo IP

destinazione, numero di porta,protocollo di trasporto. Se le caratteristiche del pacchetto non

ricadono in nessuna regola, si applica una politica di default dove:

Default: scarto (quello che non è esplicitamente permesso è proibito)

- Default: inoltro (quello che non è esplicitamente proibito è permesso)

Il fattore chiave qui, comunque, è che sui pacchetti venivano effettuati veramente pochi controlli, e

specialmente, essi erano eseguiti solamente a livello di rete. Ne consegue che è diventato alquanto

banale ingannare questo tipo di filtri mediante varie tecniche. Lo spoofing e la frammentazione del

traffico sono infatti solamente alcuni dei molteplici stratagemmi che permettono a un

malintenzionato di farsi strada in maniera piuttosto semplice attraverso i filtri di pacchetto.

Ad ogni modo, un evidente vantaggio dei packet filter era (ed è) la loro indubbia velocità. Poiché

effettuavano solamente pochi controlli, erano dunque in grado di lavorare in maniera estremamente

efficiente.

Proxy Firewall (application level gateway)

Uno dei più interessanti e potenti tipi di firewall è il proxy firewall. La cosa principale da ricordare

quando si considerano i proxy firewall è il fatto che avviano una seconda connessione da se stessi.

In altre parole, quando è fatta una richiesta per una risorsa gestita da un proxy firewall, la richiesta

originaria non giunge all’host in possesso della risorsa, bensì il proxy fa la richiesta alla risorsa e

poi ritorna l’informazione al client. Il proxy firewall agisce dunque come un mediatore tra il client

e il server, cioè tra chi ha richiesto la risorsa e colui dove tale risorsa risiede.

Questa è la cosa che li rende altamente sicuri, poiché permette di filtrare un gran numero di

contenuti potenzialmente malevoli presenti all’interno della richiesta originale.

Stateful Packet Inspection

Un firewall stateful differisce dal classico packet filter per un semplice particolare: un firewall

stateful si occupa di connessioni e delle loro caratteristiche piuttosto che dei singoli pacchetti.

Questi tipi di firewall esaminano informazioni che riguardano strati più alti, in particolare i numeri

di porta per le connessioni TCP e i numeri di sequenza. Inoltre mantiene traccia delle connessioni

già attive e fa passare pacchetti associati a quelle connessioni.

In breve, i firewall stateful tengono traccia dell’apertura di connessioni legittime e confrontano il

traffico in transito attraverso di essi con le known-good entries, ovvero con le voci conosciute come

“buone”, le quali si trovano inserite nella cosiddetta whitelist. Tali firewall possiedono inoltre tutti i

dati delle connessioni all’interno della propria tabella degli stati (la lista delle connessioni

legittime) e qualsiasi cosa ritenuta non far parte della tabella viene scartata.

Questo è stato un grande passo avanti rispetto al packet filtering in termini di sicurezza. Tutto d’un

tratto diventò molto più difficile fare l’inject di pacchetti spoofati all’interno delle connessioni

legittime per farli accettare dal firewall, perché la stateful inspection guarda al Sequence number, ai

Flag e agli altri campi del protocollo TCP piuttosto che solamente all’indirizzo IP di sorgente e

destinatario e numero di porta.

Un’altra cosa che la stateful ispection ha aggiunto è stata la capacità di toccare il livello di

applicazione in una certa misura. L’esempio più comunemente noto di questo fatto è l’abilità di

gestire una sessione FTP, un’operazione complessa che coinvolge due connessioni separate. Senza

essere in grado di guardare l’effettivo traffico FTP, il firewall non sarebbe in grado di affrontare

questo livello di complessità. Ciò non deve tuttavia essere confuso con la vera visibilità a livello 7.

Le forme originali della stateful inspection interagivano prevalentemente con il livello 4 e inferiori.

Circuit level gateway

Questo firewall fa da relay per connessioni TCP end to end. Controlla quali connessioni TCP

possono essere aperte. Quindi crea due connessioni TCP: host remoto-gateway ed gateway host

interno. Dopo l’apertura delle connessioni non effettua controlli sui contenuti.

DMZ

Una DMZ (demilitarized zone) è un segmento isolato di LAN (una "sottorete") raggiungibile sia da

reti interne sia esterne, ma caratterizzata dal fatto che gli host attestati sulla DMZ hanno possibilità

limitate di connessione verso host specifici della rete interna.

Tale configurazione viene normalmente utilizzata per permettere ai server posizionati sulla DMZ di

fornire servizi all'esterno senza compromettere la sicurezza della rete aziendale interna, nel caso una

di tali macchine sia sottoposta ad un attacco informatico: per chi si connette dall'esterno

dell'organizzazione, la DMZ è infatti una sorta di "strada senza uscita" o "vicolo cieco".

Solitamente sulla DMZ sono infatti collegati i server pubblici che rimangono in tal modo separati

dalla LAN interna, evitando di comprometterne l'integrità.

Una

Dettagli

Publisher

Daniele9292

A.A. 2016-2017

4 pagine

SSD Scienze matematiche e informatiche INF/01 Informatica

I contenuti di questa pagina costituiscono rielaborazioni personali del Publisher Daniele9292 di informazioni apprese con la frequenza delle lezioni di Sicurezza informatica e studio autonomo di eventuali libri di riferimento in preparazione dell'esame finale o della tesi. Non devono intendersi come materiale ufficiale dell'università Università degli Studi di Roma Tor Vergata o del prof Naldi Maurizio.