Router con funzionalità aggiuntive collocato tra una rete privata e il resto di Internet
Inoltra/filtra i pacchetti che lo attraversano
Permette di avere politiche di sicurezza centralizzate
Spesso integrato con NAT
Firewall
Il firewall (lett. muro tagliafuoco) è un dispositivo hardware o software che permette di proteggere e quindi filtrare il traffico da e verso un singolo PC, o una rete LAN, al fine di evitare accessi non autorizzati.
Il traffico diretto alla rete deve attraversare questo dispositivo creando una barriera inattaccabile con cui offrire sicurezza alla LAN
Esso ispeziona il flusso di dati, intervenendo in base a regole che l’amministratore ha deciso.
I firewall di ultima generazione hanno la caratteristica “stateful inspection” cioè di tener traccia delle connessioni che li attraversano verificandone lo stato.
Funzioni di un Firewall
Un FIREWALL svolge, normalmente, le funzioni di filtro e mascheramento di pacchetti IP:
INPUT determina cosa può ARRIVARE
OUTPUT determina cosa può USCIRE
FORWARDING inoltra un pacchetto dall’interno verso l’esterno e viceversa
PRE/POSTROUTING utilizzando la tecnica NAT maschera l’indirizzo reale dei PC di una lan, con il proprio (come abitualmente per VPN)
Componenti di un Firewall
Packet-filtering Network Layer
Application level gateway (Proxy)Session Layer
Circuit level gateway Transport Layer
NAT e VPN
Spesso ma non necessariamente presenti tutte insieme
Packet Filtering (Network Layer)
Filtraggio basato su header pacchetti (su ogni singolo pkt)
IP source/destination
UDP/TCP Source/destination port
ICMP message type
Payload (UDP, TCP, tunnel…
Packet Filtering (Network Layer)
- Il firewall ha una tabella di filtraggio
- Tipicamente ogni riga e’ una 4-pla (SourceIP, SourcePort, DestIP, DestPort)
• ( 192.12.13.14, *, 128.7.6.5, 80 )
• (*,*, 128.7.6.5, 80 )
Application Gateway-Proxy (Session Layer)
Un proxy per ogni applicazione
Il proxy si comporta come un server verso il client locale e come un client verso il server remoto
Si può disabilitare traffico IP tra interno ed esterno e si possono far interagire con l’esterno soltanto le applicazioni presenti nel proxy
Proxy Server
Gateway TCP Connection 1 Server FTP
Proxy HTTP
Proxy HTTPS
Proxy DNS
Server 128.32.32.68 bmrc.berkeley.edu “Open http://bmrc.berkeley.edu” TCP Connection 2 Si può permettere l’accesso al proxy solo ad alcuni host sulla rete “interna” seguendo tecniche di autenticazione diverse (IP, dominio etc.)
Esempi di proxy specifici
Http:
filtraggio delle URL (client/server)
blocco di alcune porte
azioni diversificate in relazione a indirizzo IP sorgente
FTP:
meccanismi antivirus
Posta elettronica
meccanismo antispam
meccanismi antivirus
Proxy - FTP
Circuit Level Gateway (Transport Layer)
Si tratta in pratica di un proxy a livello di trasporto (UDP o TCP)
Permette il funzionamento di tutte le applicazioni che rispettano le specifiche a livello di trasporto
Esempio: si decide di permettere tutto e solo il traffico TCP e, per UDP, soltanto quello DNS
- Tutte le applicazioni basate su TCP funzionano senza modifiche e cosi’ pure il DNS
Dove effettuare il filtraggio In ingresso:
- so da quale interfaccia arriva il pacchetto proteggo il sistema locale
In uscita:
- gestisco anche il traffico generato localmente
Economico
- Semplicemente un router che fa packet filtering (Network Layer)
Regole: di solito tutto il traffico che non è esplicitamente consentito è vietato
Dual Homed Architecture
Almeno due interfacce di rete (e relativi indirizzi IP)
Tutto ciò che non è permesso è vietato
Non è possibile traffico IP diretto tra interno ed esterno
Può inglobare packet filtering, application gw, circuit level gw
Screened Host Architecture
Application GW, packet filter e circuit level GW
- Accesso ai server locali dall’esterno soltanto attraverso il GW
- Accesso verso la rete esterna anche senza passare dal GW
DeMilitarized Zone (DMZ)
Come per la Screened host architecture ma con un ulteriore router interno
Massimo grado di sicurezza
Solo i server pubblici stanno nella dmz
Firewall IPCOP
Caratteristiche
IPCop è una mini-distribuzione GNU/Linux opensource. Garantisce un’efficiente sicurezza perimetrale della rete impedendo intrusioni esterne non autorizzate
L’immagine iso di circa 45 MB è scaricabile direttamente dal sito http://www.ipcop.org
IPCop è un’ottima soluzione per piccole reti, reti aziendali. Può essere adattata ad ogni esigenza e può essere usata anche su hardware piuttosto datato
La sua gestione avviene mediante un'interfaccia Web accessibile da qualsiasi PC connesso alla rete ed anche da remoto
Il progetto IPCop è stato sviluppato dal 2001 e risulta ormai un prodotto maturo che riscuote successo in una vasta comunità di utilizzatori
Fa da application gateway (proxy) per WEB e DNS
Fa da packet filtering e circuit level filtering
Implementa NAT/PAT
Gestisce VPN LAN-to-LAN e client-to-LAN
Gestisce DMZ
Comments