Reti locali e architetture rewall

Gianni Bianchini
[email protected]

Master in Economia digitale & E-business ` Centro per lo studio dei sistemi complessi - Universita di Siena Giugno 2004
(C) 2004 Gianni Bianchini Sono consentite la copia integrale e la redistribuzione in forma non modicata di questo documento a condizione che questa nota di copyright sia riprodotta.

A RCHITETTURE

FIREWALL

Sommario
Motivazioni. Servizi internet, tipologie di attacco, approcci alla sicurezza Progetto di un rewall per una rete aziendale Architetture tipiche Host bastione Filtraggio e proxying Filtraggio del trafco di rete Indirizzamento delle reti private Filtraggio a livello applicazione e trasporto Filtraggio stateless e stateful Trafco TCP, UDP, ICMP, casi tipici Attacchi Il paradigma netlter (kernel Linux) Esempio applicativo

A RCHITETTURE

FIREWALL

Motivazioni
Molte problematiche di sicurezza dei sistemi informatici ed in particolare delle ` reti nascono dalla necessita di proteggere Dati Privacy ` Integrita ` Disponibilita Risorse ` Integrita hardware e software Tempo di calcolo / memoria Reputazione ` Furto di identita (es. accesso a chiavi private) Catena di attacchi (mascheramento provenienza originaria) Presenza materiale indesiderato in archivi pubblici Web site defacement

A RCHITETTURE

FIREWALL

Alcune tipologie di attacco

Intrusione Accesso non autorizzato Scalata privilegi Modica dei sistemi (installazione backdoors) Denial of service Network ooding Resource exhaustion Disabilitazione / danneggiamento dei servizi Furto di informazioni Sfruttamento servizi per accesso ad informazioni addizionali Accesso agli archivi ` Intercettazione attivita dei sistemi Monitoraggio trafco di rete (snifng)

A RCHITETTURE

FIREWALL

Sicurezza: due losoe

Security through obscurity Non rivelazione delle caratteristiche dei sistemi e degli algoritmi
The attacks to network-connected computers by hackers [...] arent possible if you connect to Internet using a modem and XXX.it [...] No one will ever know which IP you will have next time you connect, and so you will be less vulnerable during your Internet connections using XXX.it - Dal sito web di un noto ISP italiano, 1998

` ` Alibi per lattivita di auditing/correzione di vulnerabilita Inefcace sul lungo termine Sicurezza logica e full disclosure Il funzionamento del sistema, gli algoritmi impiegati e le soluzioni di protezione sono perfettamente note ` La sicurezza e demandata alla segretezza delle informazioni di accesso (password, chiavi) ` Eventuali vulnerabilita vengono rese pubbliche ` Implica continue veriche di afdabilita degli algoritmi e correzione dei problemi anche on-site

A RCHITETTURE

FIREWALL

Sicurezza delle reti: approcci

Sicurezza a livello singola macchina (host level) ` Ogni sistema e dotato di misure di protezione individuali Non scalabile e di difcile gestione Schema prono ad errori Non si adatta ad ambienti eterogenei per architetture e software Sicurezza a livello rete (network level) Controllo daccesso concentrato (hw/sw dedicato) Scalabile, gestibile, adattabile ` Minore essibilita Problemi estranei ai modelli di sicurezza Accesso sico ai sistemi Azioni dannose da parte di utenti legittimi Essere comunque preparati ad intrusioni (IDS, sistemi di backup)

A RCHITETTURE

FIREWALL

` Che cose un rewall?

Letteralmente: muro ignifugo: insieme di apparati solitamente disposti allinterfaccia tra la rete locale e la rete Internet

Funzioni logiche Separazione Restrizione Analisi Realizza il modello network level

A RCHITETTURE

FIREWALL

` Che cose un rewall?

Funzioni fondamentali Denizione dei punti di ingresso/uscita dalla rete ` Denizione delle modalita di accesso alle risorse della rete Blocco di trafco e servizi non ammessi Analisi (logging) degli accessi e monitoraggio del trafco Separazione e mantenimento delle relazioni di ducia (trust) tra porzioni diverse della stessa rete Modulazione del trafco (trafc shaping) Politica di sicurezza (policy) Realizzazione hardware e software Routers, computers con software dedicato Soluzioni commerciali integrate

A RCHITETTURE

FIREWALL

` Che cose un rewall?

Limitazioni Nessuna protezione da utenti legittimi Nessuna protezione in caso di punti daccesso non controllati Limitata protezione da tipi di attacchi non noti a priori Limitata protezione da codice maligno che raggiunge la rete con ` modalita ammesse Scaricamento software infetto (di difcile riconoscimento) Introduzione di codice maligno codicato (es. email attachments) mitigabile con tecniche di content ltering anche a livello del rewall Limitata protezione da attacchi a servizi pubblicamente accessibili ` Sfruttamento (exploit) di vulnerabilita di programmi server mediante richieste legittime (necessari content ltering ed informazioni a priori) ` Importante! Necessita di isolamento delle risorse potenzialmente compromissibili da quelle sensibili Limitata protezione da worms che sfruttano trafco ammissibile (email, www)

A RCHITETTURE

FIREWALL

Alcune regole doro

Minimo privilegio Ogni ente (sistema, utente, programma) non deve disporre di privilegi superiori a quelli strettamente necessari a svolgere le proprie funzioni Limitazione possibili danni ` Difcolta a livello di progettazione, congurazione ed uso ` Difesa in profondita Ridondanza, meccanismi di sicurezza multipli (sicurezza a livello rete + host) Educazione dellutente
I cretini sono sempre piu ingegnosi delle precauzioni che si prendono per impedir loro ` di nuocere (da La legge di Murphy)

Limitazione e monitoraggio dei punti daccesso

A RCHITETTURE

FIREWALL

10

Alcune regole doro

Fail-safe defaults In caso di malfunzionamento, il comportamento predenito deve essere sicuro ` Default = deny: prima si chiude tutto, poi si apre solo cio che serve Partecipazione universale: minimizzare le deroghe Diversicazione dei sistemi hw/sw ` Semplicita Evitare luso di programmi complessi specialmente se non se ne ` sfruttano tutte le funzionalita

` Ogni catena e resistente quanto il suo anello piu debole `

A RCHITETTURE

FIREWALL

11

Progetto di un sistema rewall - Denizioni

Firewall Insieme di componenti che regola gli accessi ed il trafco tra due o piu reti ` Host bastione Sistema la cui sicurezza deve essere salvaguardata in modo particolare, poiche esposto ad attacchi (es. fornisce servizi pubblicamente accessibili o rappresenta il punto di interfaccia tra la rete Internet ed una rete interna) Host dual-homed Host interfacciato a piu di una rete (es. accessibile tanto da Internet quanto ` da una rete interna) Router Apparecchio che effettua linstradamento del trafco tra due o piu reti ` Proxy server Sistema che prende in carico richieste a server esterni per conto di client interni, ltrando eventualmente tali richieste

A RCHITETTURE

FIREWALL

12

Router ltrante (TCP/IP)

Filtraggio sulla base dellinformazione contenuta nel singolo pacchetto Indirizzo IP sorgente Indirizzo IP destinazione Tipo di protocollo di trasporto (TCP, UDP, ICMP, ...) Porta TCP/UDP sorgente Porta TCP/UDP destinazione Tipo di messaggio ICMP Esempio: blocco connessioni entranti tranne quelle sulla porta 25/TCP dellhost mail-server e su 80/TCP dellhost www-server

A RCHITETTURE

FIREWALL

13

Proxy server (Application gateway)

Lavora a livello applicazione Funge da tramite fra client e server inoltrando le richieste e presentando le risposte Filtra le richieste in accordo con la policy di sicurezza Effettua funzioni di caching

A RCHITETTURE

FIREWALL

14

Architetture

Dual-homed host Screened host Screened subnet Architetture combinate

A RCHITETTURE

FIREWALL

15

Architettura dual-homed host

No routing (trafco IP diretto non consentito) Accesso solo mediante application gateway (HTTP, SMTP, ...) Accesso mediante login esplicito sul dhh Necessaria particolare attenzione agli account Non adeguata a fornire servizi pubblicamente disponibili Possibile compromissione diretta di host sulla rete interna

A RCHITETTURE

FIREWALL

16

Architettura screened host

Router ltrante + host bastione nella rete interna Servizi pubblicamente accessibili Connessioni dallesterno permesse verso il solo bastione per i protocolli ammessi Accesso esterno Accesso diretto coi protocolli consentiti via packet ltering Accesso indiretto mediante proxy sul bastione

A RCHITETTURE

FIREWALL

17

Architettura screened host

Debolezze La compromissione del bastione implica la compromissione della rete interna (single point of failure) Necessarie forti misure di sicurezza host level La compromissione del router implica la compromissione della rete interna Vantaggi Congurazione del router meno prona ad errori rispetto a quella del dual-homed host

A RCHITETTURE

FIREWALL

18

Architettura screened subnet

Rete perimetrale (DMZ, DeMilitarized Zone) ` Lintrusione sugli host bastione NON da accesso diretto alla rete interna (multiple points of failure) ` Possibilita strati multipli Strati piu esterni: risorse piu vulnerabili e/o meno critiche ` ` Strati piu interni: risorse maggiormente critiche `

A RCHITETTURE

FIREWALL

19

Architettura screened subnet

DMZ ` Impossibilita di intercettare il trafco sulla rete interna Possibile intercettazione del trafco Internet - rete interna e rete interna bastione Bastione Fornisce i servizi esterni (HTTP, SMTP, ...) ` Puo agire da proxy per connessioni uscenti (altrimenti possibili attraverso packet forwarding)

A RCHITETTURE

FIREWALL

20

Architettura screened subnet

Router interno Protezione dellaccesso alla rete interna dallesterno *e* dalla DMZ Importante. Ridurre al minimo il livello di ducia della rete interna nei confronti del bastione ` No possibilita di connessione ai servizi interni ` No possibilita di uso di risorse interne (es. le system condivisi) Router esterno Protezione della DMZ e ltraggio ridondante dellaccesso alla rete interna Prevenzione IP spoong

A RCHITETTURE

FIREWALL

21

Architettura screened subnet - varianti

Router unico

` Maggiore complessita del router Disponibili soluzioni commerciali

A RCHITETTURE

FIREWALL

22

Architettura screened subnet - varianti

Router e host bastione combinati

A RCHITETTURE

FIREWALL

23

Screened subnet - Varianti pericolose

Combinazione di bastione e router interno

` Espone la rete interna se il bastione e compromesso Le regole di ltraggio del router possono venir modicate

A RCHITETTURE

FIREWALL

24

Host bastione
Congurazione tesa alla minimizzazione del danno in caso di compromissione Locazione sica: prevenire intercettazione di informazioni riservate Rete perimetrale (DMZ) Rete interna dietro ethernet switch ` Necessita di misure a livello host sui client della rete interna per limitare il trust nei confroni del bh

A RCHITETTURE

FIREWALL

25

Host bastione - servizi

Con accesso diretto (routing + packet ltering) Servizi sicuri, es. accesso interattivo SSH Via proxy HTTP, FTP, SMTP Accesso non sicuro alla rete interna (es. FTP, TELNET): evitare o usare misure addizionali (es. one-time passwords sul proxy) Evitare account utente sul bastione

A RCHITETTURE

FIREWALL

26

Indirizzamento reti interne

Indirizzi IP pubblicamente instradabili Assegnazione da parte del Network Information Center (NIC) locale Indirizzi IP privati (RFC 1918) 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 IP masquerading (source NAT) Mappatura di piu indirizzi privati su un unico indirizzo pubblico mediante ` riscrittura Alternativa: proxying connessioni uscenti Forwarding (destination NAT) Inoltro connessione esterna a indirizzo privato Alternativa: proxying connessioni entranti

A RCHITETTURE

FIREWALL

27

Packet ltering
Incapsulamento dati

A RCHITETTURE

FIREWALL

28

Packet ltering
IP: anatomia di un pacchetto

Confronto delle informazioni contenute nellheader con regole assegnate Esempio: non inoltrare le connessioni dalla rete 192.168.0.0/16 DENY FWD src=192.168.0.0/16 dest=any

A RCHITETTURE

FIREWALL

29

Packet ltering
IP: frammentazione

I frammenti sono riassemblati a livello dellhost destinazione Campo header presente solo nel primo frammento I frammenti successivi al primo non vengono di solito ltrati ` Possibilita di fuga di informazioni non formattate

A RCHITETTURE

FIREWALL

30

Packet ltering - approcci

Filtraggio stateless ` La decisione sullinstradamento o meno di un pacchetto e presa esclusivamente sulla base della sola informazione contenuta nei campi header del pacchetto stesso Indirizzo di provenienza/destinazione (src/dest) Protocollo di trasporto (proto=TCP/UDP/ICMP) Informazioni addizionali (porta sorgente/destinazione, ag) Stateful inspection ` La decisione e presa sulla base dellinformazione del pacchetto e del ` trafco precedente, di cui e mantenuta memoria Content ltering Viene esaminato il contenuto della comunicazione (non solo gli header) interpretando il trafco sulla base dei protocolli di livello applicazione

A RCHITETTURE

FIREWALL

31

Packet ltering
TCP (Transmission Control Protocol) Connection-oriented, bidirezionale, stream ` ` Reliable, controllo di integrita e sequenzialita Usato dai servizi HTTP, FTP, SMTP, NNTP ed altri Necessita lo stabilirsi di una connessione ` Ogni servizio e identicato da una porta (port) Three-way handshake Filtraggio sulla base di porta (sorgente/destinazione), ag SYN e ACK Esempio: inoltrare solo connessioni da dovunque ad un server HTTP www (80/TCP) ALLOW FWD source=any dest=www proto=tcp dport=80 DENY FWD source=any dest=any proto=tcp flags=SYN

A RCHITETTURE

FIREWALL

32

Packet ltering
UDP (User Datagram Protocol) Non connection-oriented ` Nessun controllo di integrita Basso overhead Usato da DNS, NFS, NetBIOS Servizi identicati da porte Nel pacchetto non esistono informazioni sullo stato della connessione (non esiste connessione) ` Possibilita di ltraggio stateful, test di coerenza con trafco UDP precedente Esempio: permettere solo connessioni al server DNS dnsserv (53/UDP) ALLOW FWD source=any dest=dnsserv proto=UDP dport=53 ALLOW FWD source=any dest=any proto=UDP state=RELATED DENY FWD source=any dest=any proto=UDP

A RCHITETTURE

FIREWALL

33

Packet ltering
ICMP (Internet Control Message Protocol) Echo request (type 8) Echo reply (type 0) Time exceeded (type 11) Destination unreachable (type 3) Redirect (type 5) ... Filtraggio sul valore del campo type, anche stateful Esempio: accettare solo Echo request, Echo reply, Time exceeded, Destination unreachable ALLOW ALLOW ALLOW ALLOW DENY FWD FWD FWD FWD FWD src=any src=any src=any src=any src=any dest=any dest=any dest=any dest=any dest=any proto=ICMP proto=ICMP proto=ICMP proto=ICMP proto=ICMP type=8 type=11 type=3 state=RELATED

A RCHITETTURE

FIREWALL

34

Packet ltering - attacchi

Filtraggio su base indirizzo di origine IP spoong UDP: immediato, es. NetBIOS TCP: complesso (TCP sequence number prediction) Man-in-the-middle ` Necessita di intercettazione del trafco di risposta Facilitato se lattaccante appartiene alla rete del client oppure del server ` Mitigabili con congurazione corretta dei router alle estremita Filtraggio su base protocollo/porta di origine Esempio: bloccare tutto il trafco UDP, tranne il DNS ALLOW FWD src=dnsserv sport=53 dest=any proto=UDP ALLOW FWD dest=dnsserv dport=53 dest=any proto=UDP DENY FWD proto=UDP ` ` Se dnsserv e compromesso puo generare richieste UDP a qualunque tipo di servizio mascherandole da risposte DNS!

A RCHITETTURE

FIREWALL

35

Unimplementazione reale: netlter/iptables

Parte del nucleo del sistema operativo Linux Paradigma di base
IN Pre routing Routing Forward chain Post routing OUT

Input chain

Output chain

Processi locali

A RCHITETTURE

FIREWALL

36

Unimplementazione reale: netlter/iptables

` Ogni catena e una lista di regole, processata in ordine per ogni pacchetto ` Ogni regola e della forma CONDIZIONE => AZIONE dove ad esempio AZIONE = (ACCEPT|REJECT|DROP|LOG) Se un pacchetto non soddisfa una regola, si procede in cascata ` Se nessuna regola e soddisfatta, si applica una policy predenita per la catena (ACCEPT|REJECT|DROP)

A RCHITETTURE

FIREWALL

37

Unimplementazione reale: netlter/iptables

` Linterfaccia al sistema netlter e il comando iptables Esempi. Aggiunta di una regola alla catena FORWARD iptables -A FORWARD -s 0/0 -d wwwsrv -p tcp --dport 80 -j ACCEPT Impostazione della policy della catena INPUT iptables -P INPUT DROP ` E possibile denire catene addizionali per semplicare la gestione Esempio. iptables -N host-fidati iptables -P host-fidati DROP iptables -A host-fidati -s hostfidato -j ACCEPT iptables -A FORWARD -s 0/0 -d dnssrv -p udp --dport 53 -j host-fidati

A RCHITETTURE

FIREWALL

38

Unimplementazione reale: netlter/iptables

Stateful inspection (modulo state/conntrack) ` Un pacchetto (TCP, UDP, ICMP) puo essere riconosciuto in uno degli stati NEW: inizia una nuova connessione ESTABLISHED: appartiene ad una connessione esistente RELATED: relativo, ma non parte di una connessione esistente (es. ICMP di errore) INVALID: non identicato o errore non relativo ad alcuna connessione conosciuta Esempio: inoltrare solo connessioni da dovunque ad un server HTTP www (80/TCP) iptables -A FORWARD -p tcp -d www --dport 80 -j ACCEPT iptables -A FORWARD -p tcp -d www -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -p tcp -j DROP

A RCHITETTURE

FIREWALL

39

Esempio

A RCHITETTURE

FIREWALL

40

Esempio
Internet eth0 62.144.12.25 Router eth1 10.0.0.1 Intranet 192.168.0.1 eth2 192.168.0.2 DMZ Bastione

Speciche: Accesso al solo servizio HTTP sul bastione da internet e dalla intranet Connessioni uscenti libere dalla intranet a internet ` Il bastione non puo creare connessioni alla intranet ` N.B. Necessita di source e destination NAT

A RCHITETTURE

FIREWALL

41

Esempio
Impostazione policy di FORWARD iptables -P FORWARD DROP Anti-spoong iptables -A iptables -A iptables -A iptables -A

FORWARD FORWARD FORWARD FORWARD

-s -s -s -s

10.0.0.0/8 -i eth0 -j DROP 10.0.0.0/8 -i eth2 -j DROP 192.168.0.0/16 -i eth0 -j DROP 192.168.0.0/16 -i eth1 -j DROP

Il trafco dalla intranet verso internet deve essere inoltrato (e mascherato) iptables -A FORWARD -s 10.0.0.0/8 -d ! 192.168.0.0/16 -j ACCEPT iptables -A FORWARD -d 10.0.0.0/8 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -t nat -A POSTROUTING -s 10.0.0.0/8 -o eth0 -j SNAT --to 62.144.12.25

A RCHITETTURE

FIREWALL

42

Esempio
DMZ iptables -t nat -A PREROUTING -i eth0 -d 62.144.12.25 -p tcp --dport 80 -j DNAT --to 192.168.0.2:80 iptables -A FORWARD -d 192.168.0.2 -p tcp --dport 80 -j ACCEPT iptables -A FORWARD -s 192.168.0.2 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -t nat -A POSTROUTING -s 192.168.0.2 -o eth0 -j SNAT --to 62.144.12.25

A RCHITETTURE

FIREWALL

43

Bibliograa
D. Brent Chapman, E. D. Zwicky, Building internet rewalls, OReilly, 1999 Anonymous, Maximum security, SAMS, 1999 W. R. Stevens, TCP/IP Illustrated, Addison Wesley, 1994 R. Russell - Packet ltering HOWTO - http://www.netfilter.org Vari, Firewalls FAQ, http://www.faqs.org/faqs/firewalls-faq Vari, Internet Firewalls - Resources, http://www.cerias.purdue.edu/coast/firewalls/fw-body.html S. Piccardi, GaPiL, Guida alla Programmazione in Linux, http://gapil.firenze.linux.it