Sicurezza delle Reti

Firewall e sicurezza di rete

Ip sorgente e destinazione, porta sorgente e destinazione, tipologia pacchetto ad esempio tcp, ecc questo viene guardatoIo posso modi care anche l'ip sorgente perciò se ad esempio le richieste dns nonle faccio dal dns del provider ma da google qualcuno può modi care le rispostedns facendo nta che vengano da googleAnche il mac address può essere alterato volendo a meno che la scheda di retenon lo permetta, ma basta cambiare scheda di reteTcp prevede la sessione, i vari segmenti(pacchetti) sono correlati, questo tipo direwall non vede la correlazione tra questi pacchetti e questo è un grande limiteNon riuscendo a fare la sessione accetto tutti gli udpAggiungendo un po' di memoria nasce la stateful inspection rewall questo da lapossibilità di avere il concetto di sessione, devo avere un timeout giustoIn altri casi il rewall è chiamato gateway ed è a livello di application che costringetutti gli utenti prima collega una

connessione con questo rewall che analizza tutti i dati e poi decide se aprire una connessione col sito questo sarà come un man in the middle a fin di bene che interrompe le comunicazioni

Come fanno con https? Il rewall installa sul browser un certificato forgiato, è lo stesso livello di violazione di un hacker

Proteggi davvero la tua azienda, però annulli https e vedi tutti i dati in chiaro, se qualcuno compromette questo rewall è finita

Per implementarlo bisogna fare installare il certificato su ogni utente

Poi ultimo tipo circuit level gateway due connessioni diverse ma rimango al livello trasporto

Qualsiasi cosa che passo al rewall può passare, non mi collego direttamente al sito, il rewall poi si collegherà al sito, posso controllare però chi può passare in base all'host ad esempio tutte le richieste da cellulari le blocco oppure tutte le richieste whatsapp le faccio passare

fi fifi fi fi fi

Posso controllare solo mittente e destinatario con un punto di interruzione nel mezzo, a differenza del primo caso qui posso bloccare tutto quello che voglio, qui posso indicare username e password per passare ed accedere al rewall, nel primo caso verifico solo con l'ip parlo della parte interna, sulla parte esterna posso sempre guardare l'ip.

Un architettura di rewall non è solo data da un router ma c'è anche il bastion host, per il numero di bastion dipende dal mio budget.

Ogni host ha un suo rewall (host based rewall), quelli del sistema operativo, ad esempio se arriva un pacchetto col sin accesso lo butto via visto che sono solo un client e non accetto chi prova a mandarmi una richiesta iniziale.

Questo è del tutto indipendente dalla tipologia e si basa solo sul mio host e dovrebbe essere un layer addizionale non l'unico.

Il personal rewall si differenzia dall'host perché l'host intende anche i server mentre il personal è un

Il computer usato da una persona, è quasi uguale all'hostrewall. L'antivirus ha latenza molto più alta del rewall, il secondo è quasi zero nei sistemi moderni. Quindi personal rewall in pratica non è altro che un tipo particolare di hostrewall, l'host comprende anche i server. Se un host contatta più di 1000 indirizzi IP è infetto, la regola dice questo. Zona dmz demilitarizzata dove ci sono web server, email server e dns server. Spesso i router hanno integrato il rewall. Una buona idea sarebbe inserire un ulteriore rewall tra i client e i server di una stessa sottorete. Le vpn virtual private network, serve per proiettare la mia rete interna in maniera sicura fuori, svantaggio se il client esterno è infettato comprometto la mia rete interna inoltre si aggiunge latenza per crittografare i dati(lo streaming sarà molto significativo). Lo standard per implementare le vpn è ipsec, il prof consiglia openvpn. Application level gateway.

vuol dire che c'è un punto all'interno della mia rete, io apro connessioni con questo proxy e lui poi a sua volta aprirà connessioni con l'esterno. Devo quindi avere un proxy per ogni protocollo che uso (es. http, ecc), inoltre con l'end to end non posso avere questo tipo di proxy, sono più sicuri di packet filtering, inoltre aggiungo molta latenza. L'ultima tipologia è il circuit level gateway, a livello basso packet filtering a livello alto application level, questo è un modo per alzare un po' il livello del packet filtering. Anche se uso solo il livello trasporto, la connessione viene comunque interrotta. L'unica security è determinare quali connessioni sono permesse, non controlla i segmenti, posso fare che tutti gli host nella mia rete si autenticano (posso farlo). Considero i segmenti come blackbox, possono esserci le come virus però i protocolli end to end funzionano alla perfezione, controllo solo se l'utente.

ha il diritto o no di utilizzare quella connessione, può in teoria anche guardare ip e porta di destinazione. Basso overhead perché non fa altro che prendere il segmento e sbatterlo dall'altra parte. Un client socks è un browser e ssh è un server socks.

Aggiungendo lo stato si ha lo statefull rewall, una grande tabella che tiene traccia delle connessioni. In connection state ci sarà opening se ho mandato il sin e established dopo il three ways hand shake, ma so anche quelle chiuse.

Ora oltre l'ack posso guardare anche i numeri di sequenza quindi è un controllo molto più stringente, il man in the middle qui è di cilissimo perché deve intercettare i pacchetti prima che arrivino al rewall.

Uno degli attacchi possibili è denial of service perché riempio velocemente la tabella.

Per eliminare una riga dalla tabella la elimino ad esempio dopo una chiusura, perché è

fatto il tcp uno può fare il three ways hand shake e stare zitto per 10 anni e riscrivere, e allora come si fa a decidere se una connessione deve essere cancellata? Ad esempio aspettando un po' di tempo. UDP non prevede il concetto di connessione quindi non ha sin e ack, non si può buttare via UDP sennò DNS non funziona più. Voglio che passino solo le risposte alle mie richieste UDP, quindi guardo da chi proviene se gli avevo fatto prima una richiesta. Con TCP, col three ways hand shake, l'indirizzo sarà sicuramente vero a meno che il man in the middle non si trovi nel percorso (di cilissimo). Il primo tipo di firewall quindi è il packet filtering che utilizza il livello 3 e 4 della pila ISO/OSI, non è altro che un router normale che si occupa di usare un insieme di regole per filtrare i pacchetti che arrivano. Gli approcci sono "lascia passare tutto tranne" oppure "non lasciare passare nulla tranne". Quello che succede è che arriva un pacchetto e...

scorro tutte le regole dall'alto verso il basso, poi decido l'azione da fare, se scorre tutte le regole arriva no in fondo alla policy del rewall (ovvero passano tutti tranne oppure nessuno tranne). Il primo set di regole ourhost etheirhost indica l'ip di provenienza e destinatario, * indica che non essendo istanziato può esserci tutto, nell'esempio blocca spigot che utilizza qualsiasi mio servizio (mail, ecc), la seconda regola nell'esempio dice accetta connessione verso il nostro gateway porta 25 da chiunque (ovvero email). Nell'esempio prima si legge la regola di block perché è in alto e poi allow, se fa match con qualcuno non si va sotto. Qui essendo packet filter non c'è il concetto di sessione, nell'esempio manca il tipo di protocollo.

Il secondo set di regole è blocca tutto, di solito è l'ultima regola, la risposta può essere icmp "non puoi passare" oppure stare silenti.

Il terzo set di...

regole dice che un qualsiasi host sulla rete può mandare email a chiunque (nessuno però assicura che su porta 25 del destinatario ci sia per forza smtp, per averne la certezza ci vorrebbe la deep inspection ma ci vuole un rewall diverso)

Quarto set di regole usa l'ack che non capisce la connessione ma può vedere i bit accesi nell'header sul pacchetto di ritorno, c'è una diversità tra risposta e nuova connessione, uso quindi il ag di ack nell'esempio visto che non c'è il concetto di connessione, nelle nuove connessioni c'è il ag di sin accesso ma non l'ack.

Si può cambiare l'ip ma anche il ag di sin e di ack, perciò sembra una risposta! Tutto quello che c'è nell'header può essere falso fi fi fi fl fl fi fi fi ffi flfi ffi fi fi

Il quinto ed ultimo set di regole (ftp può funzionare in modalità attiva e passiva), ftp secondo il prof entro un paio di anni morirà e si

userà http anche per scaricare i le. Perciò il pachet filtering ha il vantaggio di essere semplice, essere trasparente agli utenti e molto veloce. Tuttavia, ha delle debolezze: non previene attacchi sulle vulnerabilità delle applicazioni e non supporta l'autenticazione degli utenti. La 5' lettura parla del fatto che dei ragazzi universitari hanno cambiato il firmware di un hard disk e ci hanno inserito una backdoor, lasciando un overhead pari al 3/5%. Perciò, non è possibile capire che è stato alterato guardando le prestazioni. La maggior parte dei sistemi di aggiornamento dei firmware sono in http, dove uso la sua chiave pubblica per verificare che il messaggio non sia stato alterato. Se ho accesso fisico al dispositivo, posso aggiornarlo come voglio, ma se non ho accesso fisico, devo avere i privilegi di amministratore. La soluzione sarebbe aggiornare, ad esempio, il firmware da parte dei produttori. Crittografia: ci sono troppe chiavi per usare la crittografia simmetrica per l'autenticazione, se nonmiinteressa la riservatezza ma solo l'autenticazione basta la asimmetrica. Viene applicato un francobollo che contiene il riassunto del messaggio e il destinatario lo controlla e capisce se viene da qui di dovere. Vantaggi del primo metodo risparmio tanto di computazione visto che non cripto il messaggio ma solo il francobollo, svantaggio devo comunque avere una chiave concordata per ognuno dei destinatari. 3 modi per autenticazione, simmetrica asimmetrica e con valore segreto (anche questo ha il problema di avere tante chiavi per ogni destinatario). Solo la chiave pubblica eviterà questo. Per l'autenticazione si userà sempre la chiave pubblica però per scopi accademici vengono spiegati anche gli altri due modi. La funzione di hash dato un input di qualsiasi lunghezza viene restituito un output sempre diverso ma con lunghezza prestabilità all'inizio, ci saranno sicuramente collisioni ovvero output de