|-------------------------|:
| Autore : endsub |::
| Tutorial : (*.firewall) |:::
|-------------------------|::::.......................................|
|
|
|-M-E-N-U-------------------------------------------------------------|
|- (introduzione)
|
|- (HUB, SWITCH & ROUTER)
|
|- (FIREWALL & GATEWAY)
|
\ definizione di firewall
|
\ Elementi di un firewall
|
| Tipi di firewall
|
| Firewall basato su router con filtro di pacchetti
|
| Firewall che utilizzano i numeri di porta
|
| Utilizzo di gateway di applicazioni come firewall
|
| Problemi deì firewall
|
| Malfunzionamento e violazione dì un firewall
|
|--------------------------------------------------------------------
-I-N-T-R-O-D-U-Z-I-O-N-E-----------------------------------------------
Il seguente articolo tratta uno spaccato della sistemistica inerente la
security, verranno introdotti per far si che tutto venga captato egre-
giamente, le principali strutture di rete quali HUB, SWITCH & ROUTER
per poter poi introdurre (firewall & gateway) analizzandone quindi,
definizioni, elementi che compongono le medesime strutture di rete, le
tipologie esistenti, gli eventuali problemi, vulnerabilità e quale
consiglio inerente la manutenzione di tali apparecchiature.
-HUB-----------------------------------------------------------
Ponendo un'analogia con l'elettronica, l'hub svolge la funzione
similare a quella di una spina tripla per la corrente,
la quale amplifica il cavo di rete "a modo di ramificazione"
perpermettendo as esempio di far attaccare due pc al posto di
uno sulla stessa torretta, facendo si quindi che il segnale
"Data" che parte dall'HOST1 arrivi all'hub il quale lo sdoppia
inviando il medesimo all'HOST2 ed all'HOST3
Invio data da parte dell'HOST1 verso gli host 2-3
/--------------- "data = 1"
|--------|-----Data->---HOST2
HOST1---Data->---| Hub |
|--------|-----Data->---HOST3
Ricezione data da parte dell'HOST1 dagli host 2-3
|--------|----<-Data----HOST2
HOST1-<-Data-----| Hub |
2+3____/ |--------|----<-Data----HOST3
-SWITCH-----------------------------------------------------
Passiamo ora alla switch... questo ignoto componente sempre
menzionato ma mai sfruttato come si deve... visto che
la maggior parte delle persone non li sa configurare...
beh lo switch fa da selezionatore di mac address.... ovvero
smista i pacchetti secondo la direzione in cui devono andare
ecco il perchè in gergo si classifica come struttura o ente
di rete "intelligente", per intelligente intendiamo una
struttura capace di eseguire operazioni logiche
"riconoscimento - instradazione" dato che ogni pacchetto ha
un'intestazione dove c'e' scritto la provenienza e l'arrivo,
lo switch apre il pacchetto legge mac address di provenienza
e lo gira sul mac address di destinazione in modo tale da
risparmiare traffico di rete insensato. Se un pacchetto deve
andare ad una macchina che non e' attaccata ad uno switch si
girera' tutta la rete prima di trovare quella giusta.
|--esempio di traffico in ENTRATA-------------------------------------------------|
|
|----------| |
| Switch____
/--<-PC1-----------| |
|
| \
_________________ |--------|
| Internet | |
|
|_____°_°_°_°_____|-| Router |---<-PC4--<-PC3----|
| |
| PC4______<-PC4_________/ / / / |--------|\--<-PC2-----------|
| |
| PC3______<-PC3__________/ / / /
|----------| |
| PC2______<-PC2___________/ / /
|
| PC1______<-PC1____________/ Ricezione
dei
|
| \ segnali
da parte
|
| user connessi allo switch
del router
|
|
|
|--esempio di traffico in USCITA--------------------------------------------------|
|
|
|
Instradazione del router_____
|
| Switch____ \
|----------| |
| \
/--PC1->-----------| |
|
|
_________________ |--------|
| Internet | |
|
|_____°_°_°_°_____|-| Router |---PC4->--PC3->----|
| |
| PC4______PC4->_________/ / / / |--------|\--PC2->-----------|
| |
| PC3______PC3->__________/ / /
|----------| |
| PC2______PC2->___________/ /
|
| PC1______PC1->____________/
|
|
|
|---------------------------------------------------------------------------------|
-ROUTER---------------------------------------------------
il router è sempre una struttura dedita all'instradazione
di pacchetti su reti anche di tipo differente al contrario
degli switch che lavorano sugli host. Il router effettua
il suo lavoro al terzo livello della convenzione ISO/OSI
-FIREWALL-&-GATEWAY----------------------------------------
La prima linea di difesa di una rete è il firewall. Situato
fra la rete e l'ambiente esterno, il firewall impedisce
l'accesso ai pacchetti dannosi e assicura che i pacchetti
di dati regolari vengano inviati nella direzione corretta.
A prima vista, i concetti di firewall e gateway possono
sembrare completamente diversi. Il firewall è dotato di un
insieme di specifiche regole che consentono di stabilire
se un pacchetto possa entrare in un sistema oppure no, a
differenza del gateway il quale si occupa di tradurre le
informazioni ricevute da un linguaggio ad un'altro.
Firewall
è definito firewall qualsiasi dispositivo che abbia lo scopo
di impedire agli utenti esterni di accedere a una rete. In
genere, un firewall è costituito da una combinazione di
hardware e software ed è in grado di svolgere vari tipi
di operazioni. Occorre innanzitutto comprendere perché i
firewall sono necessari. Per connettere la rete a Internet è
necessario disporre di un router, ossia un dispositivo che
sappia dove si trova Internet e che sia in grado di inviare
i pacchetti destinati all'esterno. Poiché il router è un
elemento essenziale della comunicazione Internet, nella
configurazione TCP/IP di tutte le altre stazioni di lavoro
della rete dev'essere presente un puntatore a esso e. poiché
tutte le stazioni di lavoro cercano il router, quest'ultimo
deve avere un indirizzo IP statico. L'indirizzo IP statico è
molto utile. Quando a un router viene assegnato un indirizzo
IP statico, tutte le stazioni di lavoro della rete sono in
grado di individuarlo e di utilizzarlo come portale per
Internet. Un portale è un sistema in grado di impedire sia
l'accesso sia l'uscita di determinati pacchetti; deve quindi
esistere un sistema in grado di proteggere ciò che entra in
una rete, il che è esattamente il ruolo del firewall.
I pacchetti inviati e ricevuti via Internet possono essere
identificati in base all'indirizzo IP, che può essere
utilizzato per eseguire una rudimentale forma di
autenticazione sulla rete. Quando si accede a Internet,
infatti, l'indirizzo IP viene in genere autenticato in modo
del tutto trasparente all'utente. Molte pagine Web tengono
inoltre traccia degli indirizzi IP degli utenti, per sapere
dove inviare le informazioni richieste. Gli indirizzi IP di
tutte le stazioni di lavoro di una rete vengono in pratica
diffusi su tutta Internet. Chiunque può quindi scoprire
l'indirizzo dei computer di una rete, il che rappresenta il
primo passo verso un possibile accesso alla rete stessa.
Elementi di un firewall
L'elemento essenzial e di un buon firewall è la sua
progettazione. In commercio esistono moltissimi pacchetti
firewall, alcuni molto costosi, altri shareware, altri
ancora forniti insieme con l'hardware, ma ciò che distingue
veramente un firewall dall'altro sono la logica con cui
viene installato e il suo funzionamento durante l'attività
del sistema. l'hardware di un firewall può essere costituito
semplicemente da un router; molti router, in effetti, sono
dotati di caratteristiche di sicurezza avanzate. In altri
casi, il firewall può essere costituito da una combinazione
di hardware e software. Poiché un firewall è un meccanismo
pass-through, il cui compito principale è accettare o
rifiutare pacchetti, nella maggior parte delle
implementazioni non è necessario utilizzare bardware di
qualità particolarmente elevata.
Tipi di firewall
Come già visto in precedenza, un firewall può avere qualsiasi
forma e dimensione. Esistono tuttavia due tipi di
implementaziofie principali: una è costituita da un sistema
di filtro di pacchetti, basato su di un router, l'altra da un
sistema firewall/gateway proxy, basato sulle applicazioni.
Firewall basato su router con filtro di pacchetti
I firewall basati su router e costituiti da un sistema di
filtro di pacchetti funzionano come punto di ingresso per una
rete. Il router esamina tutti i pacchetti in ingresso e decide
se consentirne o rifiutarne l'accesso, secondo un criterio
stabilito dall'amministratore di rete e in genere basato
sull'indirizzo IP di provenienza del pacchetto. Il router può
essere configurato in modo da consentire l'accesso a tutti i
pacchetti provenienti da un particolare indirizzo di rete e da
impedirlo a tutti i pacchetti provenienti da altri indirizzi:
in questo modo, tutti gli utenti aventi un determinato
indirizzo possono eseguire qualsiasi operazione all'interno
della rete. Come primo esempio, si considerino due uffici
connessi con TCP/IP attraverso un router e si supponga che la
rete disponga di un accesso Internet dall'ufficio remoto.
Come si può vedere dalla figura, tutti i pacchetti in entrata
nella rete situata presso l'ufficio principale sono considerati
validi solo se provengono dall'ufficio
|----------------| |--------|
|--------| |------------------|
| Ufficio remoto |----| Router |----| Router |----| Ufficio centrale |
|----------------| |--------|
|--------| |------------------|
|
|
|----------|
| Router |
|----------|
|
|
|
|--------------------------------------------------------------------|
| internet
|
|--------------------------------------------------------------------|
In questo caso è possibile impostare il filtro in modo da
consentire l'accesso ai soli pacchetti provenienti
dall'ufficio remoto; qualsiasi pacchetto con indirizzo di
origine diverso da quello dell'ufficio remoto viene quindi
rifiutato. Come secondo esempio, si consideri una rete con
accesso Internet e si supponga di voler impedire agliutenti
di accedere aicontenutidel sito sconcezze. corn. In questo
caso è possibile configurare il sistema in modo da accettare
tutti i pacchetti, tranne quelli provenienti dall'indirizzo
sconcezze.com
Il vantaggio di un firewall basato su router e con un filtro
di pacchetti è dato dalla velocità e dal fatto che non
richiede la configurazione di un altro computer come firewall.
I router più avanzati utilizzano un sistema di filtro di
pacchetti basato sull'indirizzo di origine e di destinazione,
sul protocollo e sul numero di porta, mentre i router più
semplici utilizzano un filtro basato unicamente sull'indirizzo
di origine.
Se da un lato la velocità del sistema rappresenta un vantaggio,
dall'altro è anche uno svantaggio. Il filtro si basa infatti
sull'indirizzo di origine dei pacchetti,
che è piuttosto semplice da falsificare. Se l'indirizzo viene
falsificato, la protezione offerta dal firewall diviene puramente
illus.oria. Per questa ragione molti sviluppatori hanno potenziato
la funzione di filtro in modo da tener conto anche di altri
attributi dei pacchetti, come il protocollo, il numero di porta
o l'ora. Ecco ora un esempio di come filtrare i protocolli. Se il
portale di rete non viene utilizzato per il trasferimento dei
messaggi di posta elettronica e il firewall non viene quindi
attraversato da traffico SMTP (Simple Mail Transfer Protocol),
è possibile bloccare i pacchetti SMTP negando l'accesso alla
porta 25.
Firewall che utilizzano i numeri di porta
Per comprendere come sia possibile utilizzare i numeri di porta
per migliorare la protezione offerta da un firewall è necessario
comprendere come funzionano le porte. L'indirizzo IP dell'host
può essere paragonato al numero di telefono del centralino di
un'azienda. Se una persona telefona a questo numero e chiede al
centralinista informazioni specifiche sulla rete, non otterrebbe
probabilmente una risposta. Se la stessa persona telefonasse
invece al centralino e chiedesse di parlare con l'interno
dell'amministratore di rete, potrebbe venire a conoscenza di tutti
i segreti della rete. Il numero di porta può quindi essere paragonato
a un particolare interno. Come avviene per i numeri interni di
un'azienda, ciascun numero di porta costituisce un punto di passaggio
da e verso il firewall. Per un dato indirizzo IP, i servizi di
default utilizzano numeri di porta specifici. Per esempio, la porta
80 viene in genere utilizzata dal protocollo HTTP, mentre le porte
20 e 21 vengono utilizzate per FTP. Nella Tabella 18.1 sono indicate
alcune delle porte più utilizzate, conosciute anche come servizi noti.
Quando questi servizi vengono avviati, si pongono in ascolto sulle
porte corrispondenti, in attesa di ricevere un messaggio e, quando
ne arriva uno, avviano il protocollo corrispondente. Se si consente
ai servizi noti di accedere al firewall, anche per gli utenti non
autorizzati sarà più semplice introdursi nel sistema.
Per risolvere questo problema è possibile riassegnare i numeri
di porta. Questa operazione può essere eseguita dall'amministratore
della rete durante la configurazione del firewall. Per esempio, HTTP
utilizza per impostazione predefinita la porta 80, ma non è obbligatorio
utilizzare proprio questa; in effetti, è possibile impostare qualsiasi
altra porta e indicare a tutti gli utenti come configurare i browser
installati sulle rispettive stazioni di lavoro. Il filtro di pacchetti
può infine essere sensibile all'ora. In precedenza è stato detto che
SMTP utilizza la porta 25. Si supponga quindi di utilizzare proprio
questa porta per SMTP e di scoprire che, durante le prime ore del
mattino, molti utenti si servono del sistema di posta dell'azienda per
inviare messaggi personali. Per evitare che ciò accada, se il firewall
in uso lo consente, è possibile fare in modo che il servizio SMTP possa
accedere alla rete solo fra le 9.00 e le 18.00. Prima di scegliere
di adottare il metodo del filtro di pacchetti per il firewall, occorre
tenere conto di alcune limitazioni. Le chiamate a procedure remote
(RPC, Remote Procedure Call) comportano una comunicazione bidirezionale
fra host e o difficili da filtrare, perché svolgono una negoziazione
per determinare i numeri di porta da utilizzare. Questi numeri di
porta vengono assegnati casualmente Al'avvio del sistema; proprio
perché l'assegnazione è casuale, l'uffico sistema efficace per filtrare
le RPC è bloccare tutti gli UDP In questo modo, però, si finirebbe per
bloccare anche servizi essenziali, come DNS.
Ufilizzo di gateway di applicazioni come firewall
I gateway di applicazioni sono firewall basati su software. Il loro
funzionamento è totalmente diverso da quello dei firewall basati su
router. Il gateway si occupa infatti di trasformare i dati, per esempio
traducendo informazioni da un formato comprensibile a un PC a un altro
formato, adatto a un mainframe oppure a un Macintosh.
Un gateway di applicazioni utilizzato come firewall si comporta allo
stesso modo. Esso elabora infatti tutte le informazioni ricevute e,
oltre a stabilire se ciascuna informazione è valida per la rete, la
trasforma in modo appropriato prima di inviarla alla destinazione
finale. Questo aspetto è importante, poiché un pacchetto IP in entrata
può uscire dal gateway completamente trasformato, magari in un pacchetto
IPX, I gateway di applicazioni hanno anche altri vantaggi. Mentre
elaborano le formazioni, essi possono infatti eseguire anche altre
operazioni, come produrre file di registro. Questi tipi di gateway
dispongono in genere di numerose utilità che consentono di eseguire
praticamente qualsiasi tipo di operazione. Lo svantaggio di questo
tipo di gateway è dato dal maggior carico di lavoro e lalla conseguente
perdita di velocità. I gateway di applicazioni devono inoltre essere
configurati configurati appositamente per ciascun servizio di rete e,
poiché questo lavoro viene eseguito sui pacchetti, comporta un'ulteriore
perdita di velocità.
Problemi deì firewall
Una volta installato, il firewall non deve avere difetti, perché deve
protegge la rete dai pericoli del mondo esterno. Uno dei principali
problemi legati ai firewall è dato dall'atteggiamento di chi li
utilizza. Molti pensano che, dopo averlo creato, il flrewall possa
essere del tutto dimenticato, ma non è così, il firewall è una sorta
di organismo che vive, respira e che nelle prime fasi della sua
esistenza, necessita di numerose attenzioni. Poiché il firewall
costituisce la prima linea di difesa della rete dagli attacchi degli
hacker deve essere forte e restrittivo. è infatti importante prestare
molta attenzione a ciò che entra nella rete. Sfortunatamente, maggiori
sono le restrizioni, maggiori sono le conseguenze negative sui servizi
offerti dalla rete. Per trovare il giusto equilibrio fra vantaggi e
svantaggi è quindi necessario fare numerosi tentativi. Molti
amministratori ritengono che il firewall costituisca l'unico sistema di
difesa della rete e vi dedicano la maggior parte del proprio tempo,
dimenticando che i pericoli possono nascere anche all'interno della rete
stessa. Quando ciò si verifica e il firewall viene violato i dati della
rete si trovano in balia degli aggressori. Come sempre, la fase più
importante durante la realizzazione di un firewall è la progettazione,
che deve includere tutti gli aspetti del sistema di sicurezza: firewall,
password, nomi e tempi di accesso, strutture di dominio, relazioni di
fiducia e così via. Accade tuttavia che la progettazione non sia sufficiente.
I servizi disponibili su Internet sono in continua evoluzione, così come
sono in evoluzione i protocolli utilizzati per accedervi. Oltre a queste
continue modifiche, è necessario tener conto dell'esistenza di più versioni
di uno stesso linguaggio o protocollo. L'esempio più chiaro è dato dalle
versioni di Java di Microsoft e Sun. Sun aveva a suo tempo concesso in
licenza Java a Microsoft, la quale lo ha modificato. Di conseguenza, per un
certo periodo sono esistite due versioni diverse di questo linguaggio. Se
si utilizza un gateway di applicazioni è quindi necessario creare un nuovo
gateway per tener conto delle diverse versioni. Questo tipo di intervento
richiede tempo. Durante la realizzazione delle applicazioni necessarie
l'amministratore di rete deve inoltre decidere se consentire al firewall
di utilizzare i servizi non protetti, oppure bloccare l'accesso e proteggere
i dati, anche se ciò potrebbe creare malcontento negli utenti.
Malfunzionamento e violazione dì un firewall
Può accadere che un firewall non funzioni correttamente. Le ragioni possono
essere diverse, ma quasi tutte dipendono in qualche modo dalle operazioni
eseguite dall'amministratore. è infatti possibile che il firewall non sia
stato installato e configurato correttamente, oppure che la manutenzione
non sia stata adeguata. A volte il problema è invece legato all'hardware.
I firewall non sono impenetrabili: gli hacker sono abilissimi nel violare
questo tipo di protezione. Esistono utilità che consentono agli hacker di
stabilire quale tipo di firewall venga utilizzato da una rete. Una volta in
possesso di questa informazione, tutto dipende dall'abilità dell'amministratore.
Secondo la piattaforma utilizzata, l'amministrazione di una rete può essere
anche molto complessa. Un firewall eseguito su di un computer Unix può
comprendere centinaia di applicazioni, protocolli e comandi, che possono
condurre ad una falla del sistema di sicurezza. Dopo la realizzazione di un
firewall è necessario prestare attenzione al suo aggiornamento applicando
patch che rendano inoffensivi i nuovi tipi di attacchi.
Tutti i firewall offrono servizi analoghi che vengono però implementati
in modi diversi secondo il produttore per questo motivo è importante leggere
la documentazione di un firewall, dato che non esistono firewall buoni e
firewall scadenti, il tutto è relativo al sistema ed al compito che il
sistema adempie in rete.
|---F-o-r---N-o-F-l-y-Z-o-n-e---C-r-e-w--------------------------------------|
| (c) by endsub | Chan: #NOFLYZONE, #hackerjournal
| Nickname : endsub |
|----------------------------------------------------------------------------|