sistemi di elaborazione dell’informazione sommario …ads/corso-security/www/corso-0102/... ·...

1

SISTEMI DI ELABORAZIONE DELL’INFORMAZIONE (SICUREZZA SU RETI)

a cura di:Accettulli Emiliano, Marigliano Francesco, Napoletano Pasquale e SorienteClaudio

Anno Acc.2001-2002

S o m m a r i o

• I n t r o d u z i o n e

• A s t a r o

• I n s t a l l a z i o n e

• F u n z i o n a l i t à

• S y s t e m

• D e f i n i t i o n s

• N e t w o r k

• P a c k e t F i l t e r

• P r o x y

• V P N

• R e p o r t i n g

• H e l p

• E x i t

S o m m a r i o


• A s t a r o



• S y s t e m


• N e t w o r k


• P r o x y

• V P N


• H e l p

• E x i t

I n t r o d u z i o n e

Oggi, Internet è la tecnologia chiave per la comunicazione ed il reperimento di informazioni.

La sua crescita dal 1995 al 2002 è stata esponenziale.

Internet è in realtà un'insieme di reti di computer, sparse per il mondo e variabili in topologia, dimensione e velocità.


Connettere un singolo computer o una rete privata ad Internet, può esporre i nostri dati confidenziali a potenziali attacchi da ogni parte del mondo.

Quindi può essere di vitale importanza garantire la sicurezza e la confidenzialità di ognuna della parti connesse.


Un firewall è un dispositivo (nel caso in esame, un host), posizionato tra la nostra rete interna ed Internet che non ammette comunicazione diretta tra le due reti e rende sicura la rete interna dagli attacchi esterni.

2


Ad un firewall sono solitamente connesse tre tipi di reti:•External network / Wide Area Network (WAN).

•Internal network / Local Area Network (LAN).

•De-Militarized Zone (DMZ).

Un esempio di configurazione:


• Controllare gli accessi.

• Proteggere la rete dagli accessi non autorizzati.

• Assicurare l'integrità delle informazioni.

• Effettuare l'analisi dei protocolli.

• Avvisare l'amministratore in caso di eventi rilevanti della rete.

• Nascondere la struttura interna della rete.

• Separare i client dai server tramite i proxy.

• Assicurare la confidenzilità .

I compiti di un firewall per una connessione :


I Packet Filter sono dei dispositivi che lavorano al livello di rete del modello OSI o al livello IP del modello TCP/IP.

Ci sono diversi componenti di rete che garantiscono queste funzionalità e che vengono accomunati sotto il nome FIREWALL.

Network Layer Firewalls: Packet filter


I Packet Filter analizzano i pacchetti IP e decidono se bloccarli o ammetterli al passaggio sulla base di alcune variabili :

• indirizzo sorgente;

• indirizzo destinazione;

• protocollo utilizzato (TCP, UDP);

• numero della porta;

Il filtro può essere applicato solo per i pacchetti in entrata, solo per quelli in uscita o per tutti i pacchetti.


L'analisi dei pacchetti si basa su un set di regole per ogni porta del Packet Filter, e sul seguente algoritmo:

• Quando il pacchetto arriva alla porta, l’ header del pacchetto viene analizzato;

• Le regole di filtro sono memorizzate in uno specifico ordine. Ogni regola è applicata al pacchetto nell'ordine in cui è memo rizzata;

• Se una regola blocca la trasmissione o la ricezione del pacchetto, il pacchetto viene rifiutato;

• Se il pacchetto non soddisfa nessuna regola viene bloccato.


I Proxy lavorano al livello Applicazione del modello OSI. Piuttosto che contare su un generico strumento di filtro per amministrare il flusso dei servizi Internet attraverso il firewall, viene installato un programma mirato (un servizio proxy ), per ogni applicazione desiderata.

Application Layer Gateways : Proxies

3


• Fornisce all'amministratore di rete il controllo completo su og ni servizio;• L’amministratore di rete ha un controllo completo su quali serv izi vengono permessi;• Hanno la facoltà di supportare un’autenticazione rigida dell'utente e provvedono alla

registrazione particolareggiata delle informazioni;• Le regole sono molto più facili da configurare rispetto a quelle di un

Packet Filter.

• Richiede che gli utenti cambino le loro abitudini o che venga installato software specifico su ciascun sistema che accede ai servizi proxy;

• Le prestazioni della rete vengono sensibilmente ridimensionate.


Gli Application level Gateway garantiscono un maggiore livello di sicurezza, rispetto ai Packet Filter; d'altra parte, non operano in maniera trasparente per gli utenti, e abbassano sensibilmente le prestazioni della rete.

• Il proxy SMTP, responsabile della distribuzione dell'e-mail e del controllo dei virus;

• Il proxy HTTP con Java, JavaScript & ActiveX-Filter ed anche il filtro per i banner pubblicitari;

• Il proxy SOCKS come proxy generico, supportato da molte applicazioni come i cclient FTP, ICQ, IRC o i media di streaming;


Meccanismi di Protezione: NAT e VPN

La sicurezza della rete interna può essere aumentata tramite l'u tilizzo di indirizzi IP privati, in combinazione con il NAT (Network Address Translation).

Il NAT è una tecnica di traduzione degli indirizzi IP che permette di "nascondere" un'intera rete locale, alle spalle di un unico indirizzo IP ufficiale (solitamente quello del firewall )

L'indirizzo IP di un host interno non verrà mai scoperto e tanto meno sarà scoperta la topologia della rete. Inoltre, il NAT permette di riutilizzare gli stessi indirizzi IP in reti diverse, in modo da allontanare il problema dell'esaurimento dello spazio degli indirizzi.


Il Masquerading è uno speciale caso di SNAT dove il router rimpiazza l'indirizzo sorgente di un pacchetto in transito con l'indirizzo IP della sua interfaccia in uscita; il router può gestire connessioni multiple, ricordando gli indirizzi IP sorgenti.

Ogni pacchetto IP contiene un indirizzo destinazione ed uno sorg ente. Il NAT altera uno (o anche entrambi) degli indirizzi contenuti nell'headerdel pacchetto IP;

Se viene modificato l'indirizzo IP sorgente, si parla di Source NAT o SNAT (utilizzato principalmente per collegare una rete privata ad una pubblica);

Se viene modificato l'indirizzo IP destinatario, si parla di DestinationNAT o DNAT (usato principalmente per nascondere la rete privata);


Per permettere la comunicazione tra reti ohostgeograficamente distanti, esistono due possibilità:

Tramite linee dedicate (impone l'investimento di grossi capitali e proibitiva sopratutto se la distanza tra i punti di comunicazione è notevole )

Tramite Internet (economica ma poco sicura)

Una soluzione economica ed allo stesso tempo sicura, è rappresentata dalle reti private virutali o VPN.


Una VPN rappresenta una connessione sicura tra due parti di una rete privata, che utilizza una rete pubblica quale Internet.

Oggi, molte compagnie con siti dislocati in diverse parti della terra, creano le proprie VPN per soddisfare le loro esigenze di comunicazione.

4


La maggior parte delle VPN si basano sul tunneling , che è una tecnologia che permette di incapsulare il pacchetto inviato da un host della VPN all'interno di un altro pacchetto e di inviarlo. Il protocollo del pacchetto esterno è riconosciuto dalla rete su cui viaggia e viene scartato quando l'altro capo della VPN è stato raggiunto.

Il tunneling richiede tre diversi protocolli:

Carrier protocol: Il protocollo usato dalla rete su cui viaggiano i pacchetti.

Encapsulating protocol: Il protocollo che "avvolge" i dati originali.

Passenger protocol: Il protocollo per la trasmissione dei dati originali.

S o m m a r i o


• A s t a r o



• S y s t e m


• N e t w o r k


• P r o x y

• V P N


• H e l p

• E x i t

A s t a r o

• E’ oggi uno dei firewall più usati al mondo, che combina le tecniche descritte in precedenza per offrire agli utenti massima protezione e semplicità d'amministrazione

• E’ prodotto dalla ASTARO INTERNET SECURITY (nata nel 2000)

• La versione presa in esame è la 2.0

• Include in un unico software un sistema operativo rafforzato co n funzionalità di filtro dei pacchetti, protezione dai virus, filtro dei contenuti web, proxy e VPN, il tutto gestito tramite un'interfaccia semplice ed intuitiva

S o m m a r i o


• A s t a r o



• S y s t e m


• N e t w o r k


• P r o x y

• V P N


• H e l p

• E x i t

I n s t a l l a z i o n e

Requisiti Hardware:

Per poter installare il firewall sul proprio sistema, sono necessari:· Cpu a 133 MHz· 32 MB RAM· HDD da 1.5 GB IDE o SCSI· Drive CD-ROM con possibilità di boot o un drive floppy da 3.5"· 2 schede di rete PCI

PC dell'Amministrazione:

· Corretta configurazione del default gateway· Browser con supporto HTTPS

(p.e. Microsoft Internet Explorer o Netscape Communicator 4.0 o superiore)

· JavaScript e CSS

· Nessun proxy configurato per il browser


Attenzione:

Affinché la rete interna venga protetta da attacchi esterni, è fondamentale che l'host su cui gira il firewall sia protetto da accessi non autorizzati. Per questo, l'installazione di ASL cancellerà tutti i dati sul disco rigido è non sarà possibile avviare altri sistemi operativi sulla macchina.

5


La prima fase dell’installazione è gestita tramite l'apposito menù. Come primo passo è possibile scegliere il layout della tastiera. Quindi il programma procede al controllo dell’ hardware. Dopo il controllo hardware, inserire le informazioni necessarie attraverso le finestre di dialogo. Il software viene quindi installato sul computer.

La seconda fase di installazione consiste nella configurazione del firewall ed è gestita tramite un browser Internet (p.e. Microsoft Internet Explorer) e WebAdmin.

L'installazione comprende due fasi:

S o m m a r i o


• A s t a r o



• S y s t e m


• N e t w o r k


• P r o x y

• V P N


• H e l p

• E x i t

F u n z i o n a l i t à

L’obiettivo dell’amministratore dovrebbe essere quello di far passare attraverso il firewall il minimo traffico possibile e, comunque, non più dell’indispensabile.Questo vale sia per le connessioni entranti che per quelle uscenti.

Con WebAdmin è possibile eseguire tutte le attività amministrative del firewall, senza la necessità di un accesso SSH.

Suggerimento:E’ consigliabile progettare la propria rete e decidere quale co mputer dovrà accedere a

quali servizi. La progettazione semplifica la configurazione e, il tempo necessario alle correzioni viene sensibilmente decrementato.

S o m m a r i o


• A s t a r o



• S y s t e m


• N e t w o r k


• P r o x y

• V P N


• H e l p

• E x i t

S y s t e m

Le impostazioni principali del firewall

si trovano nella directory System.

S y s t e m

Tramite questa funzione, è possibile trasferire tutti i messaggi di log del firewall ad un altro syslog daemon. Ciò risulta conveniente se si vuole raccogliere i file di log di diversi sistemi su un unico host.

Syslog remoto

Secure Shell (SSH)

E’ un’interfaccia testuale al firewall, adatta solo ad amministratori esperti. Per l’accesso tramite SSH sarà necessario un clientSSH, compreso nella maggior parte delle distribuzioni Linux. L’accesso tramite SSH è criptato ed è quindi impossibile l’intrusione da parte di terzi.

6

S y s t e m

WebAdmin (HTTPS)

In questo menù, è possibile regolamentare l’accesso aWebAdmin. Le reti che hanno accesso a WebAdmin, devono essere inserite nel menù Allowed Netwoks.

E’ possibile accedere a WebAdmin da qualsiasi postazione, utilizzando una password valida, ed è opportuno cambiare quest’ultima periodicamente.

La configurazione più sicura è quella che ammette un unico PC ad avere accesso al firewall. Ciò è possibile definendo una retecon l’indirizzo di un solo computer nel menù Definitions / Network.

S y s t e m

WebAdmin permette inoltre di:

• Impostare la disconnessione automatica

• Cambiare la Porta TCP

• Selezionare la lingua

• Impostare data e ora del Sistema

S y s t e m

Licenza ( Inserimento della License Key )

È possibile ottenere una chiave di licenza da uno dei partner certificati da Astaro oppure contattando [email protected].

Con una chiave di licenza valida, si ottiene il diritto di utilizzare il servizio Up2Date ed il supporto ufficiale Astaro.

S y s t e m

Tramite il servizio Up2Date il firewall viene costantemente aggiornato: vengono aggiunte le definizioni dei nuovi virus, lepatch del sistema e le nuove caratteristiche di sicurezza.

Le Up2Date sono criptate, firmate e ricevute attraverso una connessione criptata. Solo Astaro ha la possibilità di creare e firmare i pachetti Up2Date. I pacchetti firmati in maniera non valida, vengono riconosciuti e quindi cancellati.

Servizio Up2Date

S y s t e m

System Up2Date:Necessario per

importare lepatch di sistema e le nuove caratteristiche di

sicurezza all’interno del firewall.

Pattern Up2Date:Necessario per aggiornare l’antivirus del firewall con

le definizioni dei nuovi virus a intervalli regolari.

S y s t e m

Backup

Tale funzione permette il salvataggio delle impostazioni del firewall su un disco rigido locale. Ciò risulta utile in caso di defezioni hardware, in quanto il ripristino del backupprende pochi minuti e quindi il sistema è subito pronto per l'uso.

Il file di backup contiene tutte le impostazioni della configurazione, eccetto le VPN RSAkey ed il WebAdmin Site Certificate.

7

S y s t e m

Export Backup:Necessario per creare

un file di Backup

Import Backup:Necessario per

richiamare un file di Backup

S y s t e m

Il file viene quindi inviato all’indirizzo e-mail indicato. La dimensione di un file di backup inviato tramite e-mail va da 3 a massimo 10 kByte.

E-mail Backup

Per evitare di dover salvare periodicamente le impostazioni delfirewall su disco, è possibile impostare la creazione automatica di un file di backup.

S y s t e m

Quindi quando viene effettuata una richiesta per un servizioproxy, il client deve autenticarsi tramite user name e password.

Autenticazione dell’Utente

Al livello IP, è possibile limitare l’accesso ai servizi proxy delfirewall impostando le regole di filtro dei pacchetti sui clientinterni.

È possibile definire quali utenti potranno usare questi servizi.

S y s t e m

RadiusAcronimo di Remote Authentication Dial In User Service ed è il nome di un protocollo utilizzato da alcune apparecchiature ( p.e. i router ISDN) per accedere alle informazioni di un server, per l’autenticazione degli utenti.

Radius riceve una richiesta con tre campi dati:• Nome utente • Password in chiaro • Tipo di proxy

Basandosi su tali informazioni, il server dovrebbe decidere se garantire l’accesso al proxy ed inviare un pacchetto in risposta.

S y s t e m

Radius Server IP:Necessaria per inserire

l’indirizzo IP del server Radius

Radius server secret:In cui bisogna inserire la password necessaria in seguito, per configurare il

server Radius tramite il tooldi configurazione

WebAdmin.

S y s t e m

Non può discernere tra gruppi di utenti eproxy differenti. Ciò significa che l’accesso ad un particolare servizio proxy può essere solo garantito a tutti o a nessuno.

SAM – NT / 2000Questo metodo di autenticazione utilizza un domain controllerMS Windows NT / 2000 o un server standalone per valutare le richieste.

Facilità di configurazione se la rete dispone di un PDC (Primary Domain Controller) oppure un semplice server con un database degli utenti.

8

S y s t e m

PDC name:Inserire il nome deldomain controller.

PDC IP:Inserire l’indirizzo IP del

domain controller.

BDC name:Se si utilizza un domain

controller di backup, inserirne il nome in

questo campo.

PDC IP:Inserire l’indirizzo IP del

domain controller.Domain:

Inserire il nome di dominio MS Windows

NT / 2000.

S y s t e m

Certificato del Sito WebAdmin

I processi crittografici vengono utilizzati per il trasferimento di dati confidenziali attraverso leVirtual Private Network, per l’autenticazione degli utenti o, come in questo caso, per una sicura amministrazione del firewall attraverso la rete.

Una forma molto elegante di comunicazione criptata, è offerta dagli algoritmi achiave pubblica.

L’Autorità di Certificazione (CA) certifica con la propria firma, che è convinta dell’autenticità di una persona o di un’entità e che la chiave pubblica appartiene effettivamente a quella persona o entità.

S y s t e m

Certificateinformation:

Qui si inseriscono i dati della società da

certificare.

S y s t e m

Con lo shut down del firewall si provoca la corretta terminazione di tutti i servizi.

Shut down

Riavvio

Cliccando su di esso si effettua lo shut down ed il riavvio delfirewall.

S o m m a r i o


• A s t a r o



• S y s t e m


• N e t w o r k


• P r o x y

• V P N


• H e l p

• E x i t

D e f i n i t i o n s

In questo modo sarà possibile lavorare solo con le definizioni (i nomi), senza dover ricordare gli indirizzi IP, le porte e le network mask.

Definitions

La definizione delle reti e degli host per tutte le ulteriori impostazioni (p.e. filtro dei pacchetti, VPN, proxy, reti e servizi) vengono gestite nel menù Definitions.

9


Networks

In tale menù è possibile inserire una nuova rete. Una rete è sempre formata da un Nome, da un Indirizzo IP e da una Network mask. La tabella delle reti contiene delle reti generiche che non possono essere cancellate o modificate.

Una volta inseriti i dati, WebAdmin procede alla verifica della validità dei dati inseriti.


Add Network:Qui si inseriscono il

nome, l’indirizzo IP e il network mask della nuova rete che stiamo

creando.


In questo menù possiamo creare e modificare un Gruppo di Reti ed eliminare reti da un Gruppo di Reti .

Network Groups

Le reti possono essere raggruppate in gruppi di reti, considerati come delle singole reti che possono a loro volta far parte di altri gruppi.

Un gruppo di reti viene evidenziato racchiudendo tra parentesi tonde il suo nome.


I protocolli ESP ed AH sono richiesti per leVirtual Private Network (VNP).

Services

I servizi sono delle definizioni per il traffico dati attraverso le reti, p.e. Internet. La definizione di un servizio consiste di un Nome, di un Protocollo e di una Porta. I protocolli disponibili sono: TCP, UDP, TCP & UDP, ICMP, AH e ESP.

Il protocollo UDP è più veloce del TCP, però con esso non è possibile rilevare la perdita dei pacchetti, mentre con il TCP si ed è possibile richiederne anche la ritrasmissione.


Add Service:Qui si inseriscono il nome, il

protocollo e il numero di porta sorgente e destinazione

del nuovo servizio che stiamo creando.


Un gruppo di servizi viene evidenziato racchiudendo tra parentesi tonde il suo nome.

In questo menù possiamo creare e modificare un Gruppo di Servizi ed eliminare servizi da un Gruppo di Servizi .

Service Groups

I servizi possono essere raggruppati in gruppi di servizi,considerati come dei singoli servizi che possono a loro volta far parte di altri gruppi.

10


Users

In questo menù è possibile inserire utenti locali.

È possibile definire a quale servizio proxy ogni utente può avere accesso.

Le possibili opzioni sono, ad esempio, proxy SOCKS e proxyHTTP.

Questo tipo di definizione degli utenti, può essere utilizzata per limitare l’accesso ai servizi proxy, in alternativa all’accesso ad un database esterno.


User defination:Qui si inseriscono lausername, la password e l’indirizzo e-mail del nuovo utente che stiamo creando

per poi specificare a quale servizioproxy l’utente può avere accesso.

S o m m a r i o


• A s t a r o



• S y s t e m


• N e t w o r k


• P r o x y

• V P N


• H e l p

• E x i t

N e t w o r k

Un firewall ha bisogno di almeno due schede di rete per proteggere una rete interna (LAN) da una rete esterna (Internet). La prima scheda di rete (eth0) costituisce sempre l’interfacciata alla rete interna (LAN). La seconda scheda di rete (eth1) è l’interfacciata alla rete esterna (Internet).

Network

Nella directory Network, vengono configurate le schede di rete ed il Routing del firewall.

Interfaces

N e t w o r k

Durante l’istallazione, il firewall riconosce automaticamente le schede di rete istallate e le aggiunge alla configurazione.

Se, dopo l’istallazione vengono aggiunte nuove schede di rete, il firewall dovrà essere istallato nuovamente.

Il firewall deve essere collocato tra la LAN ed Internet.

Tutti i pacchetti devono passare attraverso il firewall.

N e t w o r k

In questa sezione, viene configurata la prima scheda di rete (eth0). Questa scheda di rete è interfacciata alla rete interna (LAN), attraverso la quale si ha il corrente accesso al firewall. Quindi inseriamo il nome, l’indirizzo IP e la corrispondente netmask all’interno dei rispettivi campi.Le informazioni su questa scheda di rete sono state inserite durante l’istallazione.

Local Host

È necessario inserire il Gateway di default in Default Gateway e il nome del firewall all’interno del campo Host Name.

Scheda di rete (eth0)

11

N e t w o r k

In questa sezione, viene configurata la seconda scheda di rete (eth1). Questa scheda di rete è interfacciata alla rete esterna (Internet).Quindi inseriamo il nome, l’indirizzo IP e la corrispondente netmask all’interno dei rispettivi campi.

Scheda di rete (eth1)

N e t w o r k

Questo è necessario quando i percorsi corretti per una rete non possono essere impostati e la rete deve passare attraverso il firewall.

Proxy ARP on this Interface

Se tale funzione è attivata, il firewall farà funzionare il protocollo ARP sulla scheda di rete per tutte le reti note.

Quindi firewall accetterà e spedirà i pacchetti sull’interfaccia Proxy ARP per tutte le altre reti direttamente connesse.

N e t w o r k

• Gli alias IP configurati vengono inseriti in una tabella.

Alias IPTramite esso è possibile assegnare diversi indirizzi IP addizionali ad una scheda di rete che il firewall tratterà come gli indirizzi primari.

• Per amministrare diverse reti logiche su una scheda di rete.

• Nelle connessioni con la funzione SNAT, per assegnare indirizzi addizionali al firewall.

• È possibile impostare fino a 100 indirizzi addizionali per ogni scheda di rete.

• Per creare un Alias IP bisogna specificare nei corrispondenti campi : il nome del nuovo Alias IP, la scheda di rete sulla quale creare l’ alias e l’indirizzo e lanetmask di quest’ultimo.

N e t w o r k

Il firewall aggiunge automaticamente i percorsi di routing per le reti connesse direttamente. Queste route vengono chiamate interface routes. Ulteriori route, relative alle rete di cui il firewall non è membro, devono essere inserite manualmente.

RoutingOgni computer connesso alla rete usa una tavola di routing per decidere se spedire un pacchetto direttamente al firewall oppure inviarlo su un’altra rete.

Routing Statico

In questa sezione, si definisce quali reti sono instradate attraverso quali indirizzi IP (Gateway).

N e t w o r k

Le interface routes delle schede di rete non possono essere modificate.

Tavole di Routing

Tutti i percorsi inseriti sono listati nella tavola di routing.

Le colonne Destination, Gateway e Iface (interfaccia) sono particolarmente rilevanti.

Destination è l’indirizzo del sistema o della rete target.

Gateway è l’indirizzo del router.

Interface indica il nome di una delle sue interfaccie, attraverso la quale il pacchetto deve essere spedito.

N e t w o r k

Add Routes:Qui si inseriscono le route relative alle rete

di cui il firewall non è membro.

Interface Route:Qui si seleziona una delle reti

già definite e una scheda di rete per creare una nuova

route.

Static IP route:Qui si seleziona una delle reti

già definite e si inserisce l’indirizzo IP esterno .

Routing Table:Qui viene visualizzata la

tavola di routing.

12

N e t w o r k

Con gli altri due menù di selezione in Post DNAT destination, viene definito il nuovo target verso il quale instradare i pacchetti.

DNATAcronimo di Destination Network Address Traslation.

Descrive gli indirizzi target dei pacchetti IP.Utile se si vuole creare una rete privata alle spalle del firewall, e renderne disponibili i servizi ad Internet.

Il menù DNAT contiene quattro menù di selezione:

Con i primi due menù di selezione in Pre DNAT destination, viene definito il target originale dei pacchetti IP che devono essere re-instradati.

N e t w o r k

Utile in situazioni complesse, tipo per dirottare i pacchetti dirisposta delle connessioni ad altre reti o host.

SNATAcronimo di Source Network Address Traslation.Il funzionamento è uguale a quello del DNAT, con la differenza che vengono convertiti gli indirizzi sorgente dei pacchetti IP enon quelli destinazione.

Il menù SNAT contiene quattro menù di selezione:Con i primi due menù di selezione in Pre SNAT source, viene definito il source originale dei pacchetti IP che devono essere re-instradati.

Con gli altri due menù di selezione in Post SNAT source, viene definito il nuovo source verso il quale instradare i pacchetti.

N e t w o r k

Per la connessione di reti private ad Internet.

MasqueradingCon esso è possibile nascondere gli indirizzi IP interni e le informazioni della rete, alla rete esterna.

Quindi il Masquerading è un caso speciale di SNAT.

Le differenze tra lo SNAT e il Masquerading sono:Con Masqueradingviene inserito un solo indirizzo di rete. Tutti i servizi (porte) sono automaticamente inclusi nella traduzione.

La traduzione avviene solo se il pacchetto viene inviato attraverso l’interfaccia di rete indicata. L’indirizzo di quest’interfaccia è usato come nuovo indirizzo sorgente dei pacchetti.

N e t w o r k

A questo punto è possibile decidere quali misure devono essere prese contro altre connessioni del portscanner.

Portscan Detection (PSD)Tramite esso è possibile scoprire gli attacchi alla propria rete.

I cosiddetti portscan vengono solitamente utilizzati daglihackers, per cercare punti deboli in una rete sicura.

Il PSD scopre i portscan ed informa l'amministratore via e-mail, non appena le procedure sono state registrate.

N e t w o r k

Status:Qui è possibile attivare o

disattivare la funzioneport scan detection.

Action for portscanner traffic :Qui è possibile determinare l’azione da

intraprendere a seguito della scoperta di unportscanner:

Drop (blackhole): La rete scompare agli occhi dell’attaccante.

Reject: La porta viene mostrata come chiusa e il nemico non ha accesso ai servizi.

Accept : Nessuna misura viene presa contro il portscanner

N e t w o r k

PSD Network ExclusionNormali attività di rete possono essere interpretati come portscan dal PSD.

Quindi è consigliato escludere certe combinazioni di reti sorgenti e destinazione dal PSD.

Tale esclusione avviene indicando nei rispettivi campi sia la rete sorgente che quella di destinazione.

L’attività di portscanning non viene più rilevata sulle combinazioni di rete escluse dal PSD.

13

N e t w o r k

ToolsIn tale menu ci sono tre strumenti disponibili per testare le connessioni alla rete e il funzionamento del firewall.PingPermette di testare la connessione ad un host remoto.TracerouteE’ uno strumento utile a trovare errori nel routing delle reti.Elenca gli indirizzi di ogni router che incontra sul percorso fino al sistema remoto.

TCP ConnectCon esso è possibile verificare la disponibilità dei servizi TCP.

N e t w o r k

Ping:Qui è possibile selezionare il numero di ping

(3,10, o 100 ) ed inserire l’indirizzo IP o il nome dell’host

Traceroute :Qua inseriamo l’indirizzo IP o il nome

dell’host sul quale bisogna fare il traceroute.

TCP Connect:In questi campi inseriamo l’indirizzo IP o il

nome dell’host con il relativo numero di porta usato sul quale bisogna fare la

connessione TCP.

N e t w o r k

Accounting

Le funzioni di accounting registrano tutti i pacchetti IP sulle schede di rete esterne e calcola la dimensione dei dati trasport ati.

Il calcolo del traffico viene effettuato una volta al giorno. In più, viene calcolato e visualizzato il traffico del mese corrente.

Dopo l’istallazione del firewall, tutte le reti sono incluse nella funzione accounting.In più, in quest’ultima è possibile aggiungere o escludere reti.

S o m m a r i o


• A s t a r o



• S y s t e m


• N e t w o r k


• P r o x y

• V P N


• H e l p

• E x i t

P a c k e t F i l t e r

Nell’impostazione del filtro dei pacchetti, è fondamentale una distinzione tra due politiche di sicurezza:

Il filtro dei pacchetti è la parte centrale del firewall.Tramite le packet filter rules, è possibile definire quale traffico è permesso tra le reti e gli host ed inoltre, è possibile indicare particolari pacchetti da filtrare e non ammettere al passaggio attraverso il firewall.

All packet are allowed through –bisogna specificare ciò che è proibito.

All packet are blocked – bisogna specificare ciò che è ammesso.


Esempio: La rete A è una sottorete della rete B. La regola 1 permette il servizio SMTP per la rete A. La regola 2 proibisce l’SMTP per la rete B.

Risultato: Solo la rete A è in grado di accedere all’SMTP. I pacchetti SMTP dalla rete B non sono ammessi attraverso il filtro.

Il firewall è programmato per seguire la seconda politica, che permette di raggiungere un livello di sicurezza più alto.Ciò significa che è possibilespecificare quali pacchetti passeranno attraverso il filtro. Tutti gli altripacchetti verranno bloccati e visualizzati nel Filter LiveLog.

14


In Rules, vengono definite le regole per il filtraggio del pacchetto,

il loro ordine e stato.


Ordinare la Tabella delle Regole

Attivare / Disattivare una Regola

Modificare una Regola

Cambiare Ordine alle Regole

Cancellare una Regola


ICMP on firewall e ICMP-forwarding sono sempre applicati a tutti gli indirizzi IP.Quando queste funzioni sono abilitate, tutti gli IP possono effettuare un ping al firewall (ICMP on firewall), o alla rete dietro di esso (ICMP-forwarding).Gli indirizzi IP separati non potranno più essere gestiti tramite le regole di filtrodei pacchetti.

ICMP - Internet Control Message Protocol -

E’ un protocollo necessario per testare le connessioni di rete e d il funzionamento del firewall, nonché per i processi diagnostici.


Se le impostazioni ICMP sono disabilitate, IP separati e reti, possono inviare pacchetti ICMP attraverso il firewall, utilizzando le regole di filtro dei pacchetti appropriate.

ICMP on firewallIn questa sezione, si attiva o disattiva, l’invio e la ricezione diretta dei pacchetti ICMP.

ICMP-forwardingIn questa sezione, è possibile attivare e disattivare l’invio dei pacchetti ICMP attraverso il firewall verso la rete locale e verso tutte le DMZ connesse.


Nel menù ICMP è possibile attivare l’avvio

ICMP forwarding tra reti, e la ricezione

ICMP del firewall stesso (p.e.: ping).


Nei campi Current packet filter rules e Current NAT rules vengonovisualizzate le regole valide, prese direttamente dal sistema operativo.

Filter LiveLog

Il Filter LiveLog esamina le regole NAT e del filtro dei pacchetti.Il Packet filter -violation-Log mostra in tempo reale i pacchetti che nonhanno superato il set di regole del packet filter.Questa funzione è utile sopratutto per ricercare gli errori nelle regole delfirewall.

15


In Current packet filter rules, gli amministratori esperti, possono vedere,in tempo reale, il risultato del filtro delle regole. Inoltre, vengono visualizzatitutti i filtri generati dal sistema.

In Current NAT rules vengono visualizzate tutte le regole NAT, sia definite dagli amministratori sia generate dal sistema.


In Filter LiveLog, si trova un display contenente le violazioni delle regole ed una

panoramica sulle regole impostate (packet filter ,

NAT).

S o m m a r i o


• A s t a r o



• S y s t e m


• N e t w o r k


• P r o x y

• V P N


• H e l p

• E x i t

P r o x y

Mentre il packet filter filtra il traffico dei dati a livello di rete, l’uso di proxies aumenta la sicurezza del firewall a livello d’applicazione, in quanto non c’é connessione diretta tra client e server.

Ogni proxy può offrire ulteriore sicurezza al proprio protocollo diapplicazione. Siccome ogni proxy ha il compito di servire pochi o un unico protocollo d’applicazione, solitamente offre opzioni più sofisticate per il logging el’analisi in tempo reale dei contenuti trasferiti.

P r o x y

HTTP (web)

SMTP (e-mail)

DNS (name server)

SOCKS (connessione point-to-point)

P r o x y

HTTP

Il proxy HTTP gestisce il protocollo HTTP (TCP/IP, porta 80) per la trasmissione delle pagine web.

Nel menù HTTP è possibile configurare l’ HTTP-cache-Proxy ed il banner blocker. Questo proxy è capace non solo di trasferire richieste www, ma anche di memorizzare le pagine. Quindi, le pagine visitare più di frequente, nonvengono più caricate da Internet ma dalla cache del proxy.

Si noti che i contenuti audio e video di una pagina web non vengono caricati attraverso la porta 80 (HTTP), ma attraverso una porta TCP differente.

16

P r o x y P r o x y

Il proxy SMTP agisce anche come un gateway per le e-mail uscenti,svolgendo il lavoro di distribuzione dei messaggi, del sistema di postainterno.

SMTP

In questo menù, viene configurato il proxy SMTP, come pure l'anti-virus. Il proxy SMTP agisce come un controllore della posta.

Accetta le e-mail per i propri domini Internet e le passa al sistema di distribuzione interno, ad esempio un Server Microsoft Exchange. La posta viene controllata in maniera trasparente, alla ricerca di virus conosciuti e altri contenuti dannosi.

P r o x y P r o x y

DNSIn questo menù è possibile attivare e configurare il name server del firewall. Se diversi name server vengono configurati, verranno interrogati seguendo l’ordine dell’elenco.

Se nessun name server viene inserito alla voce External name server, tutte le richieste al name server, verranno spedite ai root name server di Internet.

Se il proprio Internet provider o la propria rete upstream, dispongono di un name server, dovrebbe essere inserito alla voce External nameserver , per velocizzarele richieste.

P r o x y P r o x y

Quando si utilizza il protocollo SOCKSv4, non è possibile l’autenticazione degli utenti.

SOCKSIl SOCKS è un proxy universale supportato da molte applicazioni client. Alcuni esempi sono i client FTP e RealAudio, come pure client di instant messaging tipo ICQ o AIM.

Il SOCKS può agire come proxy quando si stabilisce una connessione FTP e, come caratteristica aggiuntiva, può anche accettare connessioni con i protocolli TCP e UDP.

Questo rende il SOCKS interessante specialmente su firewall che usano NAT, in quanto, SOCKS può anche compensare gli svantaggi del NAT.

17

P r o x y S o m m a r i o


• A s t a r o



• S y s t e m


• N e t w o r k


• P r o x y

• V P N


• H e l p

• E x i t

V p n

Le connessioni VPN permettono la comunicazione, solo tra stazione autenticate. Nessun’altro, può leggere o modificare le informazioni di queste connessioni.Ci sono diversi scenari per l’utilizzo delle VPN.

Una Rete Privata Virtuale (VPN) rappresenta una connessione sicura tramite un mezzo non sicuro – solitamente Internet.Una VPN è utile in tutti quei casi in cui l’informazione è spedita e ricevuta attraverso Internet, ed è importante che terze parti non possano cambiare o leggere queste informazioni.

Una tale connessione è assicurata da un software VPN installato su entrambe iterminali in comunicazione. Questo software permette l’autentica zione, lo scambio di chiavi ed il criptaggio dei dati, in accordo allo standard IPSec.

V p n

1. Connessioni NET to NETUna rete comunica con un’altra rete.Due di reti appartenenti a dipartimenti separati di una stessa compagnia, possono usare una VPN per comunicare come se fossero direttamente connesse.Questo genere di connessione potrebbe anche essere usato per garantire a compagnie fidate (fornitori, consulenti) l’accesso sicuro ad informazioni interne.

V p n

2. Connessione HOST to NETUn computer comunica con una rete.Rappresentanti di zona o lavoratori a domicilio, possono usare una VPN per comunicare in maniera sicura, con la rete della compagnia.

V p n

3. Connessione HOST to HOSTUn computer comunica con un altro computer.Due computer possono comunicare attraverso Internet usando una VPN per criptare i dati scambiati. Un server VPN è un modo sicuro ed economico per trasferire informazioni e può sostituire costose linee dedicate tra compagnie o dipartimenti.

18

V p n

In questo menù vengono configurate le connessioni

VPN.

V p n

IPSec Rsa Key:In questo menù vengono

amministrate la chiave RSA per la connessione VPN. Se le chiavi

sono molto lunghe è possibile che, a causa del meccanismo di time-out, WebAdmin venga chiuso,

sebbene la generazione delle chiavi RSA sia ancora in Corso.

V p n

PPTP Roadwarrior VPN:Point-to point Tunneling Protocol(PPTP) permette di concedere ad un

singolo host, l’accesso alla propria rete attraverso un tunnelcriptato. PPTP è

sensibilmente più semplice da impostare rispetto ad IPSec e, se si utilizza Microsoft

Windows, non richiedere altro software aggiuntivo sul computer client.

S o m m a r i o


• A s t a r o



• S y s t e m


• N e t w o r k


• P r o x y

• V P N


• H e l p

• E x i t

R e p o r t i n g

La funzione Reporting offre la visione delle informazioni e degli stati correntidel sistema, oltre alla visualizzazione in tempo reale dei diversi protocolli.

E’ possibile inoltre visualizzare graficamente i valori medi settimanali, mensili o annuali.

Tutti i diagrammi nella directory Reporting, per prima cosa mostrano una panoramica della corrente utilizzazione quotidiana.

R e p o r t i n g

Uptime:System Uptime documenta la

disponibilità del firewall: questo menù mostra il

tempo dell’ultimo avvio del sistema ed il tempo di attività

dall’ultima interruzione.

19

R e p o r t i n g

HardwareQuesto menù mostra i valori

attuali dell’hardware del firewall.I valori disponibili sono

l’utilizzazione della CPU e la sua temperatura, l’utilizzazione della

memoria RAM e del file di SWAP.

R e p o r t i n g

Nella finestra Intern – Networktraffic , l’utilizzazione del traffico

dati è mostrata graficamente.

Network:Un prerequisito per

questo tipo di reporting, è che le schede di rete siano correttamente

configurate in Network /Interfaces.

R e p o r t i n gHTTP Proxy

In questo menù vengono

processati e mostrati tutti i valori relativi

all’utilizzazione del proxy HTTP

(web).

Il diagramma HTTP Cache Objects mostra quanti oggetti, per esempio pagine html o immagini, sono

memorizzate nel proxy HTTP.

Il diagramma HTTP Objects Hitsmostra in percentuale le richieste a

cui il proxy HTTP ha risposto utilizzando la propria cache.

R e p o r t i n g

SMTP Proxy

SMTP Virus e-mailIn questo menù vengono gestite le e-mail infette da virus. Vengono visualizzate tutte le informazioni relative all’e-mail, quali data e ora , mittente e nome del virus.

Nella finestra SMTP-Status, viene mostrato il numero di e-mail in coda, divise in:

- Entranti- Controllate (non presentano virus) - Uscenti

E’ possibile attraverso SMTP logs mostrare un log in tempo reale del traffico di e-mail attraverso il proxy SMTP.

R e p o r t i n g

Accounting

La funzione Accounting registra tutti i pacchetti IP nella scheda di rete esterna e ne somma le dimensioni.Il totale della giornata, viene calcolato una volta al giorno. Inoltre, la quantità di dati viene calcolata anche mensilmente.Il traffico mostrato, coinciderà con gli addebiti del proprio ISP, se il pagamento del servizio si basa sul volume di traffico.

R e p o r t i n g

In questo menù è possibile definire quali schede di rete esterna devono essere incluse nell’accounting.

20

R e p o r t i n g

Selfmonitor

Infine il Selfmonitoring del firewall assicura il corretto funzionamento dei servizi principali.

Riduce sensibilmente la manutenzione, dato che gli interventi ma nuali diventano quasi obsoleti, riducendo il lavoro dell’amministratore.

Controlla le funzioni, le performance e la sicurezza dei parametri del sistema prendendo contromisure in caso di divergenze che vanno oltre una certa tolleranza. Quindi, l’amministratore riceverà un report tramite e-mail.

Il Selfmonitoring si occupa dell’integrità del firewall ed informa l’amministratore di rete degli eventi importanti attraverso un e-mail.

S o m m a r i o


• A s t a r o



• S y s t e m


• N e t w o r k


• P r o x y

• V P N


• H e l p

• E x i t

H e l p

Le funzioni di Aiuto

SearchQuesta funzione ricerca attraversoWebAdmin e l’ Online Help, il termine desiderato e visualizza i risultati in una nuova finestra.

Nel menù Help sono disponibili tre ulteriori funzioni, oltre l’ Online Help.

IndexTutti i menù sono elencati in ordine alfabetico.Il percorso indica dove deve essere trovata una particolare funzione in WebAdmin. Cliccandosu un termine, si avvierà l’Online Help con le informazioni corrispondenti.

H e l p

Glossary

In questa directory, la disposizione dei termini corrisponde alla loro allocazione inWebAdmin. Cliccando su un termine, verrà mostrata una panoramica della funzione in questa directory.

S o m m a r i o


• A s t a r o



• S y s t e m


• N e t w o r k


• P r o x y

• V P N


• H e l p

• E x i t

E x i t

Uscita dal firewall

È possibile rimuovere manualmente la sessione attiva, effettuando il login comeloginuser tramite SSH. Il comando” su” permette di diventare l’utenteroot, e quindi è possibile interrompere l’attuale connessione a WebAdmin tramite il comando “rm –f/tmp/wfelock”.

Se si chiude il browser durante una sessione diWebAdmin tramite Exit, l’ultima sessione resterà attiva fino alla fine del periodo di time -out e, fino ad allora, nessun amministratore potrà effettuare il login.

sistemi di elaborazione dell’informazione sommario …ads/corso-security/www/corso-0102/... ·...

Documents