Firewall
I suggerimenti sono stati presi da riviste di informatica, da newsletters o da siti web
perciò ogni diritto rimane al legittimo proprietario.

I firewall rappresentano un fattore essenziale per garantire la protezione dei computer in rete. Tutti i sistemi dovrebbero essere protetti da un firewall, sia che si tratti delle migliaia di server e desktop che compongono la rete di un'azienda Fortune 500, del sistema portatile di un rappresentante che utilizza la rete wireless dei punti Internet pubblici o del nuovo PC di casa che si collega a Internet mediante una connessione remota.

Questo articolo descrive la progettazione, il deployment e l'utilizzo di firewall sia di rete che basati su host (denominati anche firewall personali). Sebbene gli utenti privati utilizzino tradizionalmente solo firewall basati su host, le tendenze più recenti nel settore della protezione evidenziano l'importanza di ricorrere a una combinazione dei due tipi di firewall disponibili. Le architetture firewall classiche proteggono solo il perimetro della rete, oltrepassato il quale, tuttavia, i sistemi interni risultano completamente vulnerabili agli attacchi dei pirati informatici. I worm ibridi, in particolare, penetrano nelle reti aziendali tramite i sistemi di posta elettronica e si diffondono quindi con rapidità nei sistemi interni non protetti. L'applicazione di firewall basati su host a tutti i sistemi, inclusi quelli già protetti dal firewall aziendale, dovrebbe diventare una procedura standard.

Natura e caratteristiche degli hacker dell'ultima generazione
Nell'immaginario collettivo i pirati informatici, o "hacker", sono persone che trascorrono le notti alla tastiera nel tentativo di indovinare le password che consentono di appropriarsi di dati riservati archiviati nei computer. Questi tipi di attacchi vengono effettivamente eseguiti, ma costituiscono solo una minima parte degli attacchi totali contro le reti. Attualmente, la maggior parte degli attacchi si basa su worm e virus, che in genere individuano i propri obiettivi in modo casuale. Di conseguenza, anche le organizzazioni che possiedono una quantità ridotta di informazioni riservate, o che non ne possiedono affatto, necessitano di firewall che proteggano le reti dagli attacchi automatizzati.

Se un worm o un virus individua un punto debole nella protezione e compromette il sistema, le conseguenze possono essere molteplici. Per iniziare, è probabile che esegua la ricerca di altri sistemi da attaccare, in modo da potersi diffondere ulteriormente. In questo caso, il primo sistema infetto si trasforma a sua volta nell'origine di un altro attacco, perché il worm o il virus utilizza questo computer per attaccare gli altri sistemi collegati alla rete interna e a Internet, occupando risorse di elaborazione e larghezza di banda. Sebbene spesso il worm o il virus non sappia come utilizzare i dati riservati individuati, è tuttavia possibile che apra nel sistema una nuova breccia, che consentirà ad altri di introdursi ulteriormente nel computer e di comprometterne quindi la riservatezza. Worm e virus hanno drasticamente incrementato l'esigenza di proteggere le reti con qualsiasi mezzo, soprattutto tramite firewall basati su host.

Tuttavia, i pirati informatici continuano a sferrare attacchi che, in genere, si rivelano i più pericolosi. I meno dannosi sono gli attacchi di tipo DoS (Denial of Service) che provocano il blocco dei computer e delle reti. Altri hanno l'obiettivo di individuare informazioni riservate da utilizzare a scopo di lucro, ad esempio contatti per le vendite, dati finanziari o conti dei clienti. Altri ancora tentano di raggruppare centinaia di migliaia di computer da cui sferrare un attacco distribuito contro una singola rete utilizzando Internet.

I firewall come soluzione
Nel mondo reale le aziende possono contare su vari livelli di protezione. Innanzitutto, confidano nelle forze governative e militari del paese in cui risiedono come garanzia di mantenimento dell'ordine. Secondariamente, si affidano ai corpi di polizia locali che controllano le strade e si occupano dei crimini che vengono commessi. Ulteriori complementi a questi meccanismi di sicurezza pubblica sono costituiti da serrature che bloccano porte e finestre, tesserini di riconoscimento per i dipendenti e sistemi di sicurezza. Se tutte queste difese si rivelano insufficienti e un'azienda cade vittima di un crimine, l'agenzia di assicurazione ammortizzerà una parte dei danni compensandola parzialmente per le perdite subite.

Purtroppo, nelle reti attuali non sono state ancora implementate misure di protezione a più livelli. Le amministrazioni statali e locali fanno il possibile per ostacolare i reati commessi contro le reti, ma sono ben lontane dal raggiungere una completa efficienza. In genere, gli organismi legislativi si occupano della prevenzione e delle intrusioni più gravi nelle reti. In media l'azienda o l'utente privato connesso a Internet viene attaccato decine di volte al giorno e nessuna forza di polizia possiede i mezzi adeguati per gestire un tale volume di segnalazioni. Le perdite causate dai reati informatici sono difficili da quantificare e da prevedere e, di conseguenza, vengono indennizzate in modo insufficiente dalla maggior parte delle polizze assicurative per le aziende.

Tuttavia, l'aspetto della sicurezza fisica che non risulta assente dalla protezione delle reti è l'equivalente delle serrature, dei tesserini di riconoscimento per i dipendenti e dei sistemi di sicurezza, ovvero, uscendo dalla metafora, i firewall. Proprio come le abitazioni e le automobili, anche i computer e le reti devono essere protetti. I firewall rappresentano le serrature e, proprio come le serrature, sono disponibili in varie forme e dimensioni, in modo da poter soddisfare esigenze diverse. Un firewall può essere definito come un computer gateway dedicato configurato con speciali misure di sicurezza che viene utilizzato per le connessioni verso reti esterne e linee di connessione remota. I firewall svolgono due utili funzioni: filtrano il traffico di rete proveniente dall'esterno e controllano quali computer interni possono inviare traffico al di fuori della rete.

È tuttavia essenziale comprendere un concetto: nessun firewall, sia esso un piccolo sistema basato su host o un array di firewall aziendali del valore di migliaia di euro, è in grado di garantire una protezione completa contro gli attacchi. Come le serrature e le porte blindate, i firewall creano barriere protettive contro gli attacchi, ostacolando coloro che tentano di acquisire il controllo dei sistemi. Rendendo più complesse e laboriose, anche in termini di tempo, le intrusioni nei computer, questi si trasformano in obiettivi meno ambiti. I firewall consentono in modo realmente efficace di impedire alla maggior parte dei pirati informatici di compromettere i singoli computer, tuttavia non è possibile evitare qualsiasi intrusione. Tutti i prodotti software presentano infatti dei bug e, poiché non ne sono immuni nemmeno i firewall, la protezione risulta incompleta. In sintesi, la protezione assoluta non esiste. L'importo degli investimenti effettuati in sistemi firewall dovrà dipendere dall'entità degli eventuali danni in caso di attacco.

Tipi di firewall
I principali firewall sono di due tipi: firewall di rete e firewall basati su host. I firewall di rete, ad esempio Microsoft Internet Security and Acceleration (ISA) Server basato sul software o specifiche apparecchiature basate sull'hardware, proteggono il perimetro della rete controllandone il traffico in entrata e in uscita. I firewall basati su host, ad esempio Firewall connessione Internet (ICF, Internet Connection Firewall) fornito con Windows XP e Windows Server 2003, proteggono invece i singoli computer, indipendentemente dalla rete a cui questi sono connessi. Per soddisfare i requisiti di protezione della maggior parte delle aziende è consigliabile implementare una combinazione dei due tipi.

Funzionamento dei firewall
Le sezioni seguenti forniscono informazioni di base sul traffico di rete e su come questo venga filtrato dai firewall. Tali informazioni sono valide per tutti i tipi di firewall.

Flusso TCP/IP di base
Questa sezione illustra il modo in cui il protocollo TCP/IP suddivide in pacchetti le informazioni e spiega i criteri adottati dai firewall per decidere se accettare o rifiutare il traffico. Il traffico TCP/IP viene suddiviso in pacchetti, ognuno dei quali viene analizzato dai firewall per determinare se debba essere, o meno, consegnato a destinazione. La figura 1 illustra una suddivisione semplificata di un pacchetto e ne riporta le tre sezioni principali: l'intestazione IP, l'intestazione TCP o UDP e il contenuto effettivo. L'intestazione IP contiene gli indirizzi IP dell'origine, che corrisponde al mittente, e della destinazione, ovvero il destinatario. L'intestazione TCP o UDP indica la porta di origine del mittente e la porta di destinazione del destinatario, in modo da identificare le applicazioni che inviano e che ricevono il traffico. Le intestazioni TCP contengono inoltre informazioni aggiuntive, quali numeri di sequenza, numeri di riconoscimento e stato della conversazione. Le porte TCP o UDP di destinazione definiscono i percorsi di consegna dei dati sul server quando il pacchetto raggiunge la propria destinazione.

Durante la configurazione di un firewall è importante tenere in considerazione il flusso di comunicazione che si verifica in una conversazione TCP/IP. Ad esempio, quando un browser invia una richiesta HTTP a un server Web, la richiesta contiene l'identità del computer client, l'indirizzo IP di origine e la porta di origine attraverso cui la richiesta è stata inoltrata. La porta di origine del client identifica l'applicazione client che ha inviato la richiesta, in questo caso il browser. Quando invia una risposta, il server Web utilizza la porta di origine del client come porta di destinazione. Il sistema operativo del client riconosce il numero di porta come appartenente a una sessione avviata dall'applicazione browser, a cui fornisce i dati. In genere il valore della porta di origine di un client è compreso tra 1024 e 5000.

Filtro dei pacchetti
Lo scopo principale di un firewall consiste nel filtrare il traffico. I firewall ispezionano i pacchetti durante il passaggio e, in base ai criteri definiti dall'amministratore, li accettano o li rifiutano.

I firewall bloccano qualsiasi elemento che non sia stato specificamente autorizzato. I router con funzionalità di filtro costituiscono un esempio semplificato di firewall. Questi vengono spesso configurati dagli amministratori in modo da consentire tutte le connessioni in uscita dalla rete interna, bloccando invece il traffico in entrata. In questo modo, gli utenti di una rete interna possono scaricare la posta elettronica senza problemi, mentre per connettersi al PC della propria abitazione dall'ufficio utilizzando Desktop remoto è necessario che l'amministratore personalizzi la configurazione del router. Le altre applicazioni che possono richiedere una speciale configurazione del firewall sono i server WebCam, i software per la collaborazione e i giochi in linea a più giocatori.

I filtri di pacchetto vengono utilizzati per impostare il firewall in modo che blocchi il traffico corrispondente a determinati criteri. Ad esempio, è possibile creare un filtro che respinga ogni richiesta ping. I filtri possono inoltre essere configurati impostando eccezioni a una regola ancora più complesse. Ad esempio, il filtro può contribuire alla risoluzione dei problemi relativi al firewall consentendo a quest'ultimo di rispondere alle richieste ping provenienti dall'indirizzo IP di una stazione di monitoraggio. Per impostazione predefinita, Microsoft ISA Server non risponde alle query ping inviate all'interfaccia esterna. Perché questo avvenga, è necessario creare un filtro di pacchetto nel computer ISA Server.

I principali attributi TCP/IP utilizzati nell'implementazione delle regole di filtraggio sono i seguenti:

Indirizzi IP di origine
Indirizzi IP di destinazione
Protocollo IP
Porte TCP e UDP di origine
Porte TCP e UDP di destinazione
Interfaccia di ricezione dei pacchetti
Interfaccia di destinazione dei pacchetti

Se per impostazione predefinita il firewall è stato configurato in modo da consentire il passaggio di tutto il traffico, per bloccarne una parte specifica è possibile ricorrere ai filtri. Se invece il firewall è stato configurato in modo da bloccare tutto il traffico, i filtri consentono di accettarne una parte specifica. Una configurazione tipica per il filtro dei pacchetti prevede l'accettazione di tutte le richieste DNS in entrata da Internet, in modo che il servizio DNS sia in grado di rispondere.

Sebbene gli sviluppatori abbiano progettato la maggior parte delle applicazioni in modo da garantirne il corretto funzionamento sia con i router che con i firewall basati su host, per alcune di esse potrebbe essere necessario configurare il firewall in modo da consentire alle applicazioni di comunicare.

Fortunatamente, i firewall sono molto diffusi e tutte le applicazioni che ne richiedono uno dovrebbero contenere informazioni sulla relativa configurazione. I firewall basati su host sono più semplici da configurare rispetto ai firewall di rete e, in genere, includono una procedura guidata che facilita il processo di configurazione. Numerosi firewall basati su host presentano automaticamente un prompt all'utente ogni volta che un'applicazione tenta di utilizzare Internet per la prima volta, a prescindere dal fatto che la connessione sia in entrata o in uscita. Talvolta, quando si implementa un firewall basato su host, è possibile notare che alcune applicazioni, quali Microsoft Word, hanno eseguito l'accesso a Internet senza alcun intervento da parte dell'utente.

La funzionalità Desktop Remoto in Windows XP utilizza la porta TCP 3389. Non è possibile stabilire alcuna connessione a meno che la porta 3389 non venga aperta per consentire il passaggio di Desktop remoto.

Per ulteriori informazioni, vedere l'articolo 308127 della Microsoft Knowledge Base Apertura manuale di porte in Firewall connessione Internet di Windows XP.

Per maggiore semplicità, quasi tutti i firewall attuali nascondono all'utente i numeri di porta. Ad esempio, ICF permette di scegliere i nomi delle applicazioni di cui si desidera consentire il passaggio. Tuttavia, nel caso, peraltro frequente, in cui si desideri aggiungere altre applicazioni all'elenco del traffico consentito, sarà necessario conoscere il numero di porta utilizzato dall'applicazione stessa.

La tabella 1 contiene un elenco dei numeri di porta associati alle applicazioni più diffuse. Come accennato in precedenza, le porte possono essere di tipo TCP o UDP. La maggior parte delle applicazioni ricorre a porte TCP, mentre il servizio DNS, senza il quale sarebbe impossibile individuare i siti Web su Internet, utilizza le porte UDP.

Tabella 1 Numeri di porta comuni

Servizio : Porta/Tipo porta
Server Web : 80/TCP
Server Web SSL (Secure Sockets Layer) : 443/TCP
FTP : 21/TCP
POP3 : 110/TCP
SMTP : 25/TCP
Desktop remoto (Servizi terminal) : 3389/TCP
IMAP3 : 220/TCP
IMAP4 : 143/TCP
Telnet : 23/TCP
SQL Server : 1433/TCP
LDAP : 389/TCP
MSN Messenger : 1863/TCP
Yahoo! Messenger : 5050/TCP
AOL Instant Messenger e ICQ : 5190/TCP
IRC (Internet Relay Chat) : 6665-6669/TCP
DNS : 53/UDP

Per utilizzare in modo efficiente gli strumenti per il filtraggio delle porte TCP/UDP, configurarli in modo che accettino le richieste attraverso tutte le porte necessarie alle applicazioni del server e che rifiutino quelle provenienti da qualsiasi altra porta TCP o UDP. Un'accurata definizione dei requisiti delle porte TCP/UDP delle applicazioni e la conseguente impostazione degli strumenti di filtraggio consentono di evitare errori che potrebbero impedire l'accesso ai servizi che si tenta di fornire. Il filtraggio di tutto il traffico su altre porte TCP e UDP permette di eliminare qualsiasi esposizione non necessaria agli attacchi.

Filtraggio basato su origine e destinazione
Alcuni tipi di firewall sono in grado di filtrare il traffico in base all'indirizzo IP di origine o di destinazione. Gli indirizzi IP, ovvero i numeri telefonici di Internet, sono etichette numeriche univoche che identificano la posizione di un singolo host. Il filtraggio basato sull'indirizzo di origine o di destinazione risulta utile poiché consente di accettare o rifiutare il traffico in base ai computer o alle reti che lo inviano o lo ricevono.

Tale utilità si manifesta in due modi. Innanzitutto, è possibile configurare i firewall in modo che blocchino siti Web specifici. Il blocco dei siti in base al nome è una forma di filtraggio della destinazione. Secondariamente, i firewall possono accettare o rifiutare il traffico in base al computer che invia la richiesta. Questo consente agli amministratori di disattivare la messaggistica immediata dal computer di un'organizzazione e, contemporaneamente, di attivare lo stesso protocollo da un diverso gruppo di computer.

Il filtraggio dell'origine permette inoltre di migliorare l'accesso degli utenti alle reti interne rispetto a quelle esterne. È ormai pratica diffusa utilizzare un firewall per bloccare tutte le richieste inviate a un server di posta elettronica interno, con l'eccezione delle richieste provenienti dagli utenti della rete interna. Il filtraggio dell'origine permette inoltre di bloccare tutte le richieste generate da un indirizzo specifico, ad esempio il traffico proveniente da un indirizzo IP che ha già attaccato la rete.

Filtraggio di tipo Stateful Inspection
Si definisce Stateful Inspection il processo di analisi eseguito sui pacchetti che raggiungono il firewall e di conservazione dello stato della connessione tramite l'attivazione o la disattivazione del passaggio dei pacchetti in base ai criteri di accesso definiti. Per semplificare ulteriormente la comprensione della modalità di conservazione dello stato, la figura 4 descrive lo svolgimento di una conversazione tra un client e un server attraverso un sistema ISA Server. In questo scenario, sul sistema ISA Server è stata configurata la funzionalità per la pubblicazione sul Web, in modo da supportare il reindirizzamento delle richieste Internet esterne sulla porta 80 del server IIS interno:

Il flusso di conversazione si svolge come segue:

Il client Internet genera una richiesta HTTP diretta al server Web e invia un pacchetto IP contenente le porte e l'indirizzo di origine e di destinazione.
Il sistema ISA Server riceve la richiesta destinata al server Web.
ISA Server modifica quindi il pacchetto, sostituendo la porta e l'indirizzo di origine con il proprio indirizzo interno, quindi sostituisce l'indirizzo IP di destinazione con l'indirizzo del server IIS reale.
ISA Server aggiunge le porte e gli indirizzi di origine e di destinazione alla propria tabella per tenere traccia della conversazione.
ISA Server invia il pacchetto modificato al server IIS interno.
Il server IIS risponde alla richiesta utilizzando ISA Server come indirizzo di destinazione e la porta TCP 5300.
ISA Server riceve il pacchetto dal server IIS e cerca nella propria tabella il numero 5300, che risulta associato al client Internet.
ISA Server modifica quindi il pacchetto e sostituisce la porta e l'indirizzo IP di origine del server IIS con la propria porta e il proprio indirizzo IP.
ISA Server modifica quindi l'indirizzo IP e la porta TCP di destinazione con quelle del client Internet.
Il client Internet riceve la risposta sulla porta TCP 5100.
Oltre a gestire la conversazione TCP o UDP in base alle porte e agli indirizzi IP, ISA Server verifica anche i flag TCP e i numeri di sequenza e di riconoscimento all'interno dei campi dell'intestazione TCP per le conversazioni TCP. I flag rappresentano lo stato della conversazione, sia che si tratti della parte iniziale (SYN), di quella intermedia (ACK) o di quella finale (FIN). Se uno qualsiasi dei flag si trova al di fuori della sequenza, ISA Server blocca la connessione. I campi relativi a sequenza e riconoscimento forniscono le informazioni necessarie per garantire che il successivo pacchetto ricevuto nell'ambito della conversazione sia quello corretto. Anche in questo caso, tutte le richieste non conformi allo stato della conversazione vengono bloccate.

Filtri a livello di applicazione
I firewall a livello di applicazione sono in grado di riconoscere il traffico che li attraversa e di accettarlo o rifiutarlo a seconda del contenuto. I firewall basati su host progettati per bloccare i contenuti Web indesiderati in base alle parole chiave presenti nelle pagine Web rappresentano una forma di firewall a livello di applicazione. Questi tipi di firewall vengono utilizzati per analizzare i pacchetti destinati a un server Web interno per verificare che la richiesta non sia in realtà un attacco.

Attualmente, la capacità di ispezione del contenuto di un pacchetto rappresenta uno dei migliori metodi per distinguere tra i vari prodotti firewall. ICF non dispone di questa funzionalità, che è invece presente nella maggior parte dei firewall orientati alle aziende.

ISA Server è anche un proxy a livello di applicazione in grado di leggere i dati all'interno dei pacchetti di una determinata applicazione e di eseguire operazioni in base a un insieme di regole. ISA Server include inoltre filtri predefiniti per le applicazioni, che esaminano i singoli pacchetti e ne bloccano, reindirizzano o modificano i dati. Ad esempio, è possibile implementare regole di routing Web che impostano il computer ISA Server in modo che reindirizzi una richiesta HTTP a un determinato server IIS interno, a seconda dell'indirizzo URL del pacchetto. Un altro esempio è rappresentato dal filtro DNS per il rilevamento delle intrusioni. Questo filtro blocca i pacchetti che non costituiscono richieste DNS valide o che corrispondono a tipi di attacchi DNS comuni. Quando si configura la pubblicazione Web o server, è possibile richiamare il filtro per le applicazioni su ISA Server.

Registrazione
I firewall non sono in grado di prevenire gli attacchi, ma possono ridurre le probabilità che si verifichino delle violazioni. Dopo aver implementato un firewall, il numero degli attacchi tentati rimane invariato. Semplicemente, non è più necessario preoccuparsene. Tutti i firewall offrono funzionalità di registrazione di tali attacchi, per consentirne la successiva analisi manuale. Tali funzionalità risultano utili sia agli amministratori, che possono così controllare eventuali attacchi fuori dall'ordinario, sia a scopi legali. Se un pirata informatico riesce a eludere il firewall, è possibile utilizzarne il file di log e raccogliere informazioni per comprendere le modalità dell'attacco. Questo file potrà eventualmente essere utilizzato dalle forze dell'ordine a fini investigativi.

Rilevamento delle intrusioni
Il rilevamento delle intrusioni è una funzionalità avanzata di cui, tuttavia, numerosi firewall (ad esempio ICF) sono sprovvisti. I sistemi di rilevamento delle intrusioni (IDS, Intrusion Detection System) sono in grado di identificare le firme o gli schemi dell'attacco, di generare avvisi per informare i team operativi e di indicare ai router di interrompere la connessione con le origini dannose. Possono inoltre impedire gli attacchi di tipo DoS, che si verificano quando un utente invia frammenti di una richiesta TCP sotto forma di richieste TCP legittime oppure quando le richieste vengono inviate da un'origine IP dannosa. Il server non è in grado di gestire un numero così elevato di richieste e visualizza quindi un messaggio DoS per gli utenti del sito. I sistemi IDS garantiscono il monitoraggio in tempo reale del traffico di rete e implementano un approccio alla protezione di tipo "prevenire, rilevare e reagire".

Sebbene tali sistemi siano necessari per soddisfare i requisiti di protezione di numerose aziende e di alcuni utenti privati, il loro utilizzo prevede svantaggi che è consigliabile tenere in considerazione. Infatti, i sistemi IDS:

Richiedono un considerevole utilizzo delle risorse di elaborazione e possono influire sulle prestazioni del sito. Hanno un costo elevato. Possono talvolta interpretare il normale traffico di rete come un attacco e provocare così allarmi inutili, la cui frequenza può essere tanto elevata da portare i team operativi a ignorare gli allarmi reali.

Per il rilevamento delle intrusioni sono disponibili numerosi strumenti di terze parti. Ad esempio, Intrusion Detection System (IDS) di Cisco o RealSecure di ISS consentono di eseguire il monitoraggio del traffico di rete in tempo reale. Tuttavia, i sistemi IDS sono ancora in fase di perfezionamento e sviluppo.

Antivirus
Il termine "virus" viene utilizzato per descrivere programmi autoreplicanti che si diffondono tra i file di uno o più computer. In genere, ma non sempre, i virus compiono operazioni dannose, quali sovrascrivere i file oppure occupare la larghezza di banda inviando copie di se stessi a tutti gli utenti memorizzati nella rubrica.

Le funzionalità antivirus sono incluse in alcuni firewall di rete e basati su host. I primi possono analizzare e filtrare tutto il traffico di posta elettronica in entrata per individuare ed eliminare eventuali allegati contenenti virus, mentre i secondi sono in grado di modificare la configurazione del client di posta elettronica dell'utente in modo che invii tutte le richieste attraverso di essi.

I firewall non rappresentano certamente l'unico metodo di protezione contro i virus e se il firewall prescelto non offre apposite funzionalità, è necessario completarlo con un software antivirus. Il modo più efficace per proteggere le organizzazioni dai virus consiste nell'adottare un pacchetto antivirus di buona qualità tra quelli disponibili in commercio. Questi programmi eseguono una scansione di file, cartelle, messaggi di posta elettronica e pagine Web presenti nel computer, alla ricerca degli schemi distintivi del codice dei virus. Quando viene rilevato un elemento simile a un virus, l'oggetto sospetto viene messo in quarantena e l'utente riceve un messaggio di notifica.

Se l'organizzazione utilizza Outlook come client di posta elettronica, accertarsi di installare l'aggiornamento per la protezione di Outlook, che incrementa il livello di protezione contro i virus che attaccano i sistemi di posta elettronica (in Outlook 2002, incluso in Office XP, questa funzionalità è incorporata).

Sul sito di TechNet è disponibile un'utile pagina di riepilogo che viene costantemente aggiornata in modo da segnalare tempestivamente i nuovi virus. Durante la lettura dei documenti disponibili è consigliabile soffermarsi sul fatto che la maggior parte dei virus che utilizzano la posta elettronica si diffondono perché gli utenti compiono operazioni che dovrebbero essere evitate, ad esempio aprire gli allegati inviati da mittenti sconosciuti.

Reti private virtuali (VPN) e crittografia
L'inoltro della porta è sufficiente per pubblicare un sito Web attraverso il firewall, ma non se si desidera collegare due reti connesse a Internet, entrambe protette da firewall. Per eseguire questa operazione è consigliabile utilizzare una rete privata virtuale (VPN, Virtual Private Network), ovvero l'estensione di una rete privata che comprende collegamenti incapsulati, crittografati e autenticati che attraversano reti condivise o pubbliche. Le connessioni VPN possono fornire accesso remoto e connessioni a reti private tramite Internet. L'accesso a una rete aziendale richiede agli amministratori di impostare non solo un metodo di autenticazione affidabile per la convalida dell'identità, ma anche una crittografia avanzata, che impedisca agli utenti di comunicare dati in chiaro.

Le reti VPN non sono funzionalità firewall in senso stretto e numerose aziende le implementano utilizzando periferiche VPN dedicate e completamente separate. Tuttavia, gli architetti di rete in genere posizionano i firewall di rete in corrispondenza del perimetro della rete stessa, esattamente come le VPN. Poiché sia VPN che firewall sono progettati per incrementare la protezione della rete, è logico che le funzionalità VPN si siano trasformate in elementi integranti di molti firewall.

Se come firewall di rete si utilizza un sistema Windows 2000 Server o Windows Server 2003, le funzionalità VPN risultano già integrate nella piattaforma di base. Tutte le piattaforme Windows più recenti includono un'infrastruttura di autenticazione e crittografia che garantisce una connettività protetta. Grazie al server VPN integrato in Windows 2000 Server e Windows Server 2003 e al client VPN di Windows XP, le organizzazioni possono usufruire immediatamente di tutti i vantaggi offerti da una rete VPN protetta e basata su standard. Poiché Microsoft supporta gli standard VPN, quali L2TP/IPSec e l'autenticazione tramite smart card, le organizzazioni hanno la possibilità di scegliere il livello di crittografia, autenticazione e interoperabilità più adatto alle proprie esigenze in termini di protezione VPN.

Sebbene utilizzino spesso le reti VPN per crittografare il traffico scambiato tra gli utenti e la rete aziendale tramite Internet, le organizzazioni possono anche implementare la crittografia tra qualsiasi sistema Windows 2000, Windows Server 2003 e Windows XP. Poiché Microsoft offre il supporto completo e basato su standard delle estensioni della protezione IPSec, le aziende hanno la possibilità di applicare una crittografia avanzata di tutto il traffico di rete, senza dover apportare alcuna modifica alle applicazioni, ai server o all'hardware di rete già esistente.

Firewall basati su host
I firewall basati su host sono applicazioni software installate sui singoli sistemi. A seconda del software prescelto, un firewall basato su host può offrire funzionalità aggiuntive rispetto a quelle dei firewall di rete, quale la protezione del computer da spyware (un componente di alcuni software gratuiti che tiene traccia delle esplorazioni del Web eseguite dall'utente) e da "cavalli di Troia" (programmi che in apparenza eseguono un'operazione innocua, mentre in realtà ne effettuano un'altra dannosa, ad esempio registrare le password dell'utente). Se in viaggio si utilizza un computer portatile, l'implementazione di un firewall basato su host è imprescindibile. È infatti necessario disporre di una protezione adeguata per ogni connessione a Internet, mentre il firewall hardware è in grado di garantirla solo per il computer nel quale è stato installato.

In Windows XP è integrato, senza spese aggiuntive, Firewall connessione Internet (ICF), un programma progettato per offrire un livello di prevenzione delle intrusioni di base. Tuttavia, ICF non include tutte le funzionalità fornite dalle applicazioni firewall di terze parti, la maggior parte delle quali proteggono il sistema da programmi software che potrebbero violare la privacy o consentire a un pirata informatico di utilizzare in modo improprio il computer. I firewall di terze parti possono inoltre essere installati su sistemi che eseguono versioni Windows precedenti. È tuttavia importante sottolineare che il software firewall non sostituisce il software antivirus. Per un livello di protezione ottimale è consigliabile utilizzare entrambi questi programmi.

I firewall basati su host più diffusi sono ZoneAlarm, Tiny Personal Firewall, Agnitum Outpost Firewall, Kerio Personal Firewall e BlackICE PC Protection di Internet Security Systems. La maggior parte di questi prodotti è disponibile in versione gratuita o di valutazione. Di conseguenza, il download dei relativi pacchetti non implica alcun costo, se non quello di connessione, e consente di verificare se tali applicazioni sono in grado di soddisfare le proprie esigenze in modo più adeguato rispetto a ICF.

Firewall di rete
I firewall di rete salvaguardano un'intera rete mediante la protezione del relativo perimetro. Questi firewall inoltrano il traffico proveniente e diretto ai computer di una rete interna e lo filtrano in base ai criteri definiti dall'amministratore. I firewall di rete sono disponibili in versione hardware e software. In genere, quelli basati sull'hardware sono più economici e rappresentano la scelta ideale per gli utenti privati e le aziende di piccole dimensioni. I firewall di rete basati sul software spesso dispongono di un maggior numero di funzionalità e sono in grado di soddisfare al meglio le esigenze delle aziende di dimensioni maggiori. Possono inoltre essere eseguiti sullo stesso server degli altri servizi, quali posta elettronica e condivisione di file, consentendo così alle piccole organizzazioni di ottimizzare l'utilizzo dei server esistenti. Come descritto nelle sezioni successive, i firewall di rete spesso includono funzionalità aggiuntive non necessarie per i firewall basati su host.

Servizi proxy
Gli utenti privati o gli uffici di piccole dimensioni che possiedono o intendono implementare una rete devono creare un gateway che la separi dal firewall. Se il firewall software viene installato su un computer specifico, questo sistema deve disporre di almeno due schede di rete, una collegata all'interfaccia pubblica (ad esempio un modem DSL o via cavo) e l'altra connessa alla rete interna. A questo punto, è necessario configurare il computer per consentire la comunicazione tra il traffico interno e quello esterno alla rete. Con Condivisione connessione Internet è possibile eseguire questa operazione sia in Windows 2000 che in Windows XP.

In questa fase, tuttavia, numerosi uffici di piccole dimensioni decidono di acquistare un gateway residenziale dedicato, come illustrato nella figura 5. Queste unità vengono collegate direttamente al router DSL o al modem via cavo e offrono le funzionalità di un firewall e di un hub di rete. È necessario configurare un gateway residenziale in modo che operi sostituendosi al computer che esegue ICS quando si contatta un ISP. Se, ad esempio, si dispone di un indirizzo IP statico, è necessario assegnare tale indirizzo al gateway anziché al computer. In alternativa, è possibile assegnare al computer un nuovo indirizzo IP oppure, preferibilmente, impostare il sistema in modo che richieda l'indirizzo IP al gateway.

Se il browser in uso non supporta frame non ancorati (inline), fare clic qui per la visualizzazione in una pagina distinta.

Se un'azienda di piccole dimensioni utilizza l'ID di rete 192.168.0.0 per la propria rete Intranet, a cui l'ISP ha assegnato l'indirizzo pubblico w1.x1.y1.z1, il servizio di conversione degli indirizzi di rete (NAT, Network Address Translation) associa tutti gli indirizzi privati presenti in 192.168.0.0 all'indirizzo IP w1.x1.y1.z1. Se associa più indirizzi privati a un solo indirizzo pubblico, NAT utilizza in modo dinamico le porte TCP e UDP prescelte per distinguere una posizione Intranet dalle altre.

Nota w1.x1.y1.z1 e w2.x2.y2.z2 vengono utilizzati per rappresentare gli indirizzi IP pubblici validi assegnati da un ISP.

Se un utente privato all'indirizzo 192.168.0.10 utilizza un browser per connettersi al server Web all'indirizzo w2.x2.y2.z2, il computer di tale utente crea un pacchetto IP contenente le seguenti informazioni:

Indirizzo IP di destinazione: w2.x2.y2.z2
Indirizzo IP di origine: 192.168.0.10
Porta di destinazione: porta TCP 80
Porta di origine: porta TCP 5000

Il computer dell'utente privato inoltra quindi il pacchetto al server NAT, che converte gli indirizzi del pacchetto in uscita nel modo seguente:

Indirizzo IP di destinazione: w2.x2.y2.z2
Indirizzo IP di origine: w1.x1.y1.z1
Porta di destinazione: porta TCP 80
Porta di origine: porta TCP 1025

Il server NAT memorizza l'associazione di {192.168.0.10, TCP 1025} a {w1.x1.y1.z1, TCP 5000} in una tabella.

Il server NAT invia quindi il pacchetto convertito al server Web tramite Internet e il server Web invia la risposta al server NAT, che riceve un pacchetto contenente le seguenti informazioni relative all'indirizzo pubblico:

Indirizzo IP di destinazione: w1.x1.y1.z1
Indirizzo IP di origine: w2.x2.y2.z2
Porta di destinazione: porta TCP 1025
Porta di origine: porta TCP 80

Il server NAT controlla la propria tabella di conversione, associa gli indirizzi pubblici a quelli privati e inoltra il pacchetto al computer presente in 192.168.0.10. Il pacchetto inoltrato contiene le seguenti informazioni relative all'indirizzo:

Indirizzo IP di destinazione: 192.168.0.10
Indirizzo IP di origine: w2.x2.y2.z2
Porta di destinazione: porta TCP 5000
Porta di origine: porta TCP 80

Per i pacchetti in uscita dal server NAT, questo associa l'indirizzo IP di origine (un indirizzo privato) all'indirizzo allocato dall'ISP (un indirizzo pubblico) e associa i numeri di porta TCP/UDP a numeri di porta TCP/UDP diversi.

Per i pacchetti in entrata nel server NAT, questo associa l'indirizzo IP di destinazione (un indirizzo pubblico) all'indirizzo Intranet originale (un indirizzo privato) e riassocia i numeri di porta TCP/UDP ai numeri di porta TCP/UDP precedenti.

NAT converte in modo corretto i pacchetti che contengono l'indirizzo IP solo nell'intestazione IP. Se tale indirizzo è indicato nel payload IP, durante la conversione dei pacchetti potrebbero verificarsi degli errori.

Servizi proxy inverso
La maggior parte dei server proxy offre servizi aggiuntivi rispetto alle funzionalità standard sopra descritte. I proxy inversi consentono ai firewall di garantire un accesso protetto a un server Web interno (senza esporlo all'esterno) reindirizzando le richieste HTTP esterne (proxy di applicazioni) a un unico computer designato. Questa operazione non è adatta in caso di Web hosting con più server (viene infatti effettuata tramite l'hosting inverso, descritto nelle sezioni successive), ma può risultare utile se si gestisce un solo sito.

L'hosting inverso permette al firewall di reindirizzare le richieste HTTP (proxy di applicazioni) a più server Web interni. Uno dei metodi utilizzati consiste nel fornire l'accesso a più server come Web secondari di un sito Web aggregato di grandi dimensioni o come vari server Web indipendenti. Più flessibile del proxy inverso, ma ugualmente sicuro, questo metodo consente di astrarre l'architettura fisica dei siti Web associando più server a un unico server logico. Entrambe le opzioni permettono al firewall di offrire funzionalità di caching, grazie a cui è possibile incrementare la velocità di risposta.

Il proxy server offre le stesse funzionalità disponibili nel proxy inverso e nell'hosting inverso, ma contrariamente a questi, funziona con protocolli diversi da HTTP, in modo da garantire un accesso protetto da Internet alle risorse interne quali SQL Server o la posta elettronica interna. Dagli utenti esterni, il server proxy viene percepito come SQL Server o come sistema di posta elettronica. In pratica, il proxy server risponde alle richieste esterne per conto dei server interni, i quali si limitano semplicemente a eseguire il client proxy che reindirizza l'istruzione ricevuta a una determinata porta del server proxy. Il vantaggio che si ottiene in termini di protezione è evidente: se i server vengono posizionati dietro un proxy, è possibile impedire alterazioni dirette dall'esterno, poiché i pirati informatici sono perfettamente consapevoli del fatto che il server proxy non contiene le informazioni che desiderano ottenere.

Il proxy inverso può rivelarsi estremamente utile, ad esempio nel caso in cui si desideri consentire a un server Web di inoltrare query a un database interno. Questa operazione può essere eseguita in vari modi: se le dimensioni del database non sono eccessive, è possibile effettuarne una replica all'esterno, ma questa operazione potrebbe compromettere l'integrità del contenuto. La scelta più ragionevole consiste nello spostare i server Web e di database oltre il firewall e utilizzare il proxy o l'hosting inverso. Questa opzione è estremamente sicura, sebbene il sovraccarico derivante dall'esecuzione di più server Web oltre il proxy potrebbe ridurre la capacità del proxy stesso di gestire le richieste Web provenienti dai client interni.

La terza opzione è quella ottimale: posizionare il server Web nella zona demilitarizzata (DMZ, Demilitarized Zone) e utilizzare le funzionalità proxy del firewall per inoltrare le query al database. Questa alternativa, illustrata nella figura 7, offre elevati livelli di protezione e prestazioni. Prima di scegliere una delle opzioni descritte, è consigliabile esaminare le esigenze dei casi specifici, in modo da bilanciare i requisiti di protezione con quelli di prestazioni e semplicità di utilizzo.

Firewall per SOHO (Small Office/Home Office)
In passato, i firewall erano destinati unicamente alle grandi reti aziendali, come peraltro le connessioni a Internet. Attualmente, invece, la connettività a Internet, ininterrotta e ad alta velocità, registra una sempre più rapida diffusione, e di conseguenza si sono moltiplicati anche gli attacchi effettuati contro i computer connessi. I firewall consentono di proteggere i computer da tali attacchi escludendo vari tipi di traffico dannoso e possono risultare utili per impedire che un computer prenda parte ad attacchi a terzi senza che l'utente ne sia al corrente. Inoltre, i firewall di tipo consumer offrono un buon livello di sicurezza e non richiedono all'utente una preparazione specifica in materia di protezione.

Per i piccoli uffici che disponevano di uno o due computer, il rischio maggiore consisteva nella possibilità di perdere dati a causa di un incendio, un malfunzionamento dell'hardware o altri incidenti. Oltre a tali rischi, tuttora esistenti, la connettività ininterrotta e ad alta velocità a Internet espone gli utenti a nuove minacce e intensifica alcune di quelle già esistenti. Ciononostante, se si possiedono gli strumenti adeguati è possibile salvaguardare i propri sistemi da attacchi, virus e altri elementi dannosi. Alcuni di questi strumenti sono inclusi in varie versioni di Windows, mentre altri sono prodotti da terze parti, quali Symantec, McAfee e così via. L'importante non è tanto utilizzare strumenti di una particolare marca, quanto piuttosto disporre degli strumenti adeguati, indipendentemente dal produttore.

Dopo aver assodato la necessità di dotare l'ufficio o la propria abitazione di un firewall, il primo passo da compiere ai fini dell'implementazione consiste nel decidere quale soluzione, hardware o software, sia in grado di soddisfare al meglio le proprie esigenze. I firewall sono distribuiti sotto varie forme, da prodotti software disponibili gratuitamente a unità industriali a prova di manomissione. Indipendentemente dal tipo acquistato, se certificato o meno, tutti i firewall forniscono la stessa funzionalità di base, ovvero il controllo del traffico in entrata e in uscita.

Per prendere una decisione più consapevole, è necessario rispondere alle seguenti domande:

Tutti i computer in uso eseguono Windows XP o Windows Server 2003? In caso affermativo, è già disponibile un firewall incorporato, ovvero ICF, e non è necessario acquistarne uno aggiuntivo.
La connessione a Internet deve essere condivisa da vari computer? In caso affermativo, significa che i computer sono connessi in rete o lo saranno. In tal caso, è possibile utilizzare la funzionalità Condivisione connessione Internet di Windows per condividere la connessione. ICS è incluso in Windows 2000, Windows XP e Windows Server 2003.

È possibile condividere la connessione senza utilizzare un computer come firewall? Se si desidera condividere una connessione a Internet, ma non si intende utilizzare un computer specifico come gateway, la funzionalità Condivisione connessione Internet funziona solo quando il computer in cui viene eseguita è acceso e connesso in rete. In alternativa, è possibile acquistare dispositivi di costo ridotto, i cosiddetti "router di accesso a Internet" o "gateway residenziali" che quasi sempre includono funzionalità firewall di base, da utilizzare come gateway per la condivisione delle connessioni.

Per ottenere la massima sicurezza, è possibile installare un firewall hardware che protegga la rete e combinarlo con ICF o con un altro firewall basato su host. Se necessario, i firewall di questo tipo possono essere configurati per singoli sistemi, in modo che ogni computer connesso alla rete disponga di autorizzazioni di rete proprie. I firewall basati su host possono inoltre avvisare l'utente quando il software di un computer in cui è presente il firewall invia dati senza autorizzazione. In genere, i firewall basati sull'hardware sono estremamente flessibili e potenti e sono in grado, una volta installati, di svolgere i propri compiti senza alcun ulteriore intervento, sebbene non sia semplice configurarli per la prima volta.

La combinazione dei due tipi di firewall può offrire un grado di protezione più alto rispetto all'uso di uno solo.

Per ottenere la massima protezione della rete, il metodo più affidabile per la maggior parte degli utenti dei piccoli uffici consiste nell'acquistare un router dotato di funzionalità firewall. Tali router non si limitano a operare come firewall, ma connettono in rete più computer, in modo che condividano un'unica connessione Internet, e sono addirittura in grado di supportare reti wireless. Se si possiede più di un computer e una connessione ininterrotta a banda larga, un router/firewall può offrire gli stessi vantaggi di un piccola rete e permette di connettere a Internet qualsiasi computer.

In genere, il router è una periferica separata dal modem via cavo o DSL. È importante sottolineare che la maggior parte di tali modem non offre alcuna protezione alla rete. Di conseguenza, se non è stato acquistato alcun prodotto aggiuntivo per la sicurezza, è probabile che il sistema non disponga di alcuna protezione. In caso di dubbi, contattare il proprio ISP per informazioni sul livello di protezione fornito dal modem.

L'utilizzo di un router con funzionalità firewall offre maggiori vantaggi rispetto ai software firewall basati su host. Questi ultimi possono infatti proteggere un solo computer alla volta, e la configurazione di un firewall basato su host per ognuno dei computer connessi alla rete può rivelarsi un'attività dispendiosa in termini di tempo. I firewall basati su host non sono assolutamente in grado di proteggere altri tipi di periferiche connesse alla rete, quali sistemi di gioco o TV Viewer personali. Infine, se nel computer si utilizzano più sistemi operativi o se ne installano le versioni beta, può accadere di dimenticare di implementare un firewall basato su host per ognuno di essi.

Se si decide di utilizzare un firewall hardware, sceglierne uno che possieda un numero di porte di rete sufficiente a consentire la connessione diretta di tutti i computer e delle altre periferiche di rete. Come illustrato nella figura 8, connettere via cavo un firewall alla rete è semplice come aggiungere una segreteria alla propria linea telefonica. È infatti sufficiente scollegare la connessione Ethernet tra il modem via cavo/DSL e il PC e collegarla al firewall, al quale vengono quindi connessi il computer e le periferiche di rete. La configurazione di un firewall hardware non è altrettanto semplice, come descritto nelle sezioni successive.

Alcuni dei più conosciuti firewall basati sull'hardware sono i router Linksys, NetGear, Zyxel.

I computer privati o dei piccoli uffici connessi direttamente a Internet richiedono la protezione aggiuntiva offerta da un firewall. Il metodo meno costoso consiste nell'attivare sul sistema sia ICF che ICS e consentire a tutti i computer in rete di connettersi attraverso tale sistema. È possibile attivare ICS su una sola connessione Internet della rete, che deve quindi essere protetta ricorrendo a ICF. ICF è in grado di controllare solo le comunicazioni eseguite attraverso la connessione a Internet sui cui è stato attivato.

È consigliabile evitare topologie che includono più connessioni a Internet. Se è necessario disporre sulla rete di svariate connessioni a Internet dirette, verificare che per ognuna di esse sia stata attivata un'istanza di ICF, in modo da garantire la protezione della rete. È tuttavia opportuno tenere in considerazione che ICF funziona per singola connessione e quindi questa topologia non è quella ottimale, poiché non offre un punto di amministrazione centralizzato attraverso cui gestire una protezione costante di tutte le connessioni a Internet.

Analogamente la topologia che fornisce la connettività Internet alla rete tramite il collegamento diretto dell'hub a Internet espone a rischi simili e non è quindi consigliabile.

L'attivazione di ICF nell'ambito di questo tipo di topologia interrompe alcune comunicazioni di rete e garantisce la protezione solo del computer in cui l'applicazione è stata attivata. Gli altri computer utilizzano le connessioni a Internet dirette tramite hub e non risultano quindi protetti.

Firewall per le aziende
Le organizzazioni di qualsiasi dimensione desiderano una connettività di rete in grado di garantire la protezione dei dati e delle applicazioni aziendali. L'esigenza di collegarsi ovunque e in qualsiasi momento per collaborare con partner, clienti e dipendenti che operano da postazioni remote o mobili ha esteso i requisiti della connettività di rete oltre le tradizionali reti LAN (Local Area Network) cablate, fino a includere accesso remoto, reti private virtuali e reti wireless. Per fornire un accesso più completo alla rete e ottenere, quindi, una maggiore produttività, i clienti devono risolvere problemi relativi alla protezione, alle difficoltà di gestione e ai costi. Grazie a Windows Server 2003, Windows 2000, Windows XP e a un'architettura firewall accuratamente progettata, gli amministratori possono garantire una connettività di rete protetta e integrata per le applicazioni e i dati aziendali più importanti.

Per risolvere i problemi relativi alla protezione della connettività di rete, gli amministratori devono tenere in considerazione i seguenti fattori:

Protezione: i dipendenti operano non solo all'interno della sede dell'azienda, ma anche in filiali, uffici privati o in trasferta. Per garantire la disponibilità di connessioni remote, sono necessarie soluzioni protette, basate su standard e semplici da gestire.
Difficoltà di gestione: numerosi fornitori offrono soluzioni dedicate con poche possibilità di integrazione con infrastrutture e prodotti diversi. L'installazione di client wireless con funzionalità di autenticazione e criteri centralizzati può risultare complessa, a meno che non si disponga di soluzioni integrate.
Riduzione dei costi: se si utilizzano tecnologie e prodotti diversi, ognuno con licenze, contratti di supporto e risorse di formazione proprie, la protezione della rete può rivelarsi costosa. Ad esempio, l'implementazione di una VPN protetta può richiedere un'autorità di certificazione separata per l'infrastruttura a chiave pubblica (PKI, Public Key Infrastructure), un modello di autenticazione proprio, l'installazione di software sul lato client, nonché firewall e gateway server aggiuntivi.
Se riescono a risolvere questi problemi di importanza fondamentale, le organizzazioni hanno la possibilità di incrementare la produttività dei dipendenti, ridurre i costi e migliorare l'integrazione aziendale.

Firewall basati su host in reti aziendali
Le reti aziendali utilizzano vari livelli di difesa. ad esempio un'analisi del traffico in corrispondenza del router che collega la rete a Internet, uno o più firewall di livello aziendale, motori di scansione per la ricerca di virus sui server di posta elettronica e alcuni tipi di meccanismi per il rilevamento delle intrusioni.

È interessante stabilire se abbia senso inserire firewall basati su host all'interno di reti aziendali. I firewall aziendali e quelli basati su host operano a vari livelli di difesa. Poiché i primi proteggono l'intera rete, mentre i secondi garantiscono la sicurezza dei singoli host, la scelta più appropriata consiste in una combinazione di entrambi. Tuttavia, i firewall basati su host bloccano determinate attività della rete aziendale. Ad esempio, alcune organizzazioni eseguono un'analisi periodica dei client aziendali per verificarne la conformità ai criteri relativi alle password, operazione con cui firewall basati su host possono interferire. I firewall che, come ICF, bloccano tutte le connessioni in entrata ostacolano le applicazioni basate su LAN, che devono inviare ai computer client avvisi quali messaggi sullo stato delle stampanti e notifiche di nuovi messaggi di posta elettronica Exchange. I criteri di protezione dell'organizzazione devono stabilire se i firewall basati su host sono consentiti e come questi debbano essere configurati.

In Windows XP ICF dipende da Network Location Awareness e può essere disattivato tramite i criteri di gruppo di Windows Server 2003 Active Directory (AD). Durante gli spostamenti, gli utenti mobili non sono obbligati a ricordarsi di attivare o disattivare ICF, che può essere lasciato costantemente attivato per garantire la necessaria protezione, a casa come in viaggio. In ufficio i criteri di gruppo possono disattivare ICF ogni volta che un computer si collega alla rete aziendale.

Utilizzo di una zona demilitarizzata (DMZ)
La maggior parte delle organizzazioni utilizza la connessione a Internet per esporre i servizi alla rete Internet pubblica. Come minimo, vengono esposti i servizi SMTP per accettare la posta elettronica in entrata. I filtri e l'inoltro della porta consentono il passaggio del traffico attraverso il firewall, ma per una maggiore protezione della rete interna numerose organizzazioni ricorrono a DMZ (Demilitarized Zone). Questa sezione spiega come proteggere la zona DMZ, l'area in cui vengono generalmente posizionati i server che espongono i servizi pubblici, per ottenere un livello di sicurezza superiore.

DMZ è formata da server front-end e back-end e da firewall. I firewall proteggono i server front-end dalla rete pubblica e filtrano il traffico scambiato tra la rete aziendale e i server back-end. La zona DMZ fornisce un sistema di protezione su più livelli che separa Internet dalla rete interna dell'organizzazione.

Per garantire questa protezione, DMZ include:

Un firewall che protegge i server front-end dal traffico Internet.
Un insieme di server estremamente sicuri che supportano i servizi forniti dalle applicazioni. Questi server vengono impostati in modo da disattivare i servizi Internet pericolosi, quali la condivisione di file e Telnet.

Un firewall che separa i server back-end dalle reti aziendali e agevola le comunicazioni tra i server back-end e i pochi server presenti nella rete aziendale.
La zona DMZ è un elemento di fondamentale importanza per la protezione di un sito. Per proteggere i dati memorizzati nei server back-end è necessario adottare misure di sicurezza aggiuntive. I dati estremamente riservati o necessari in altri settori dell'azienda possono essere archiviati al di fuori della zona DMZ, sebbene questo influisca negativamente sulle prestazioni ed esponga al rischio, per quanto minimo, di semplificare l'accesso alla rete aziendale per i pirati informatici.

La zona DMZ richiede almeno un router, sebbene una progettazione più avanzata debba includere due router e un firewall. Il grado di complessità della configurazione dipende da fattori quali:

Livello di protezione richiesto
Tipo di connettività tra il sistema e le altre reti (interna per la rete aziendale, esterna per Internet)Numero di server che si desidera proteggere

I server DMZ si avvalgono delle stesse funzionalità utilizzate per garantire la sicurezza della rete interna, controllando l'accesso alla zona DMZ dai lati trusted e non trusted del firewall. Questo metodo è più complesso ma è certamente il più sicuro.

Dopo la topologia DMZ, il fattore più importante ai fini della protezione dell'ambiente è il controllo del traffico. Dopo aver stabilito quali utenti sono autorizzati a connettersi, è necessario applicare tali regole ricorrendo, in genere, a router e firewall. I router eseguono il filtraggio dei pacchetti, grazie a cui è possibile controllare il flusso del traffico tra due nodi. Questa operazione, tuttavia, tende a ridurre le prestazioni del router ed è quindi consigliabile non eseguirla con eccessiva frequenza. Ogni volta che viene effettuata, controllare l'utilizzo del router sia nella fase precedente che in quella successiva.

È necessario prestare particolare attenzione ai singoli server della zona DMZ, per verificare che siano in grado di sopportare eventuali attacchi dannosi. Per rendere più sicuri i server esposti, utilizzare gli strumenti di protezione e gli elenchi di controllo dei sistemi operativi installati nei server. È inoltre possibile implementare criteri di filtraggio di livello inferiore e chiudere determinate porte. Ad esempio, nei sistemi della zona DMZ è consigliabile configurare un firewall basato su host.

Architetture di siti Web DMZ standard
Se si intende implementare un'applicazione e-commerce o aziendale, è necessario tenere in considerazione la protezione dei sistemi e dei dati, in modo da impedire l'accesso da parte di utenti non autorizzati e da garantire la disponibilità dei sistemi anche in caso di attacchi di tipo DoS. Poiché nel caso delle applicazioni aziendali il rischio maggiore è rappresentato da dipendenti poco scrupolosi, in genere la protezione può essere ottenuta utilizzando le funzionalità di autorizzazione e autenticazione di Windows e AD.

I pirati informatici, tuttavia, possono attaccare le applicazioni e-commerce anche da postazioni esterne all'azienda utilizzando Internet. Poiché fornire a ogni utente anonimo un ID di accesso a Windows risulterebbe poco pratico, è necessario ricorrere a un diverso tipo di autenticazione. In questo scenario la rete utilizzata è Internet, e non la rete Intranet controllata dall'utente, ed è quindi consigliabile preparare i server a impedire o rendere vani altri tipi di attacco. Infine, è opportuno prestare particolare attenzione alla protezione dei dati degli utenti, ad esempio quelli relativi alle carte di credito.

Se si intende eseguire l'hosting del sito all'interno delle strutture dell'azienda, è necessario disporre di una zona DMZ. Il firewall dedicato a Internet deve fornire l'accesso a servizi quali HTTP, HTTPS, FTP e posta elettronica SMTP. Se i server vengono posizionati nella rete di un provider di servizi di hosting, un unico firewall dedicato a Internet può essere sufficiente. Tuttavia, per una gestione sicura del sito dalla rete aziendale è necessario utilizzare una VPN.

In generale, i client accedono alle applicazioni tramite Internet. Le richieste passano attraverso un firewall, che filtra i pacchetti inviati all'indirizzo o alle porte errate. Il firewall esterno filtra tali richieste, verificando che siano originate da un indirizzo valido e che siano destinate a un indirizzo e a un numero di porta validi. Se il firewall è a livello di applicazione, verifica che il nome della pagina richiesta sia valido e che la richiesta sia formulata correttamente. Un server Web che esegue IIS gestisce le richieste, in genere utilizzando una pagina ASP.NET, e ricava le informazioni necessarie dai server di database. I server Web possono inoltrare richieste alle risorse disponibili all'interno della rete aziendale. Tali richieste vengono quindi filtrate dal firewall interno della zona DMZ, un livello di protezione finale per la rete interna. Questa protezione aggiuntiva è di fondamentale importanza, poiché il rischio che un pirata informatico comprometta i server Web esterni è decisamente più elevato che per gli altri server interni. Inoltre, è più probabile che i server esterni vengano sfruttati come punto di diffusione per ulteriori attacchi contro la rete interna.

Architetture di siti Web firewall su più livelli
I requisiti di protezione di numerose organizzazioni prevedono la presenza di un firewall tra i server Web front-end e i server di database back-end. La figura 16 riporta un esempio di architettura che soddisfa tali requisiti e fornisce la necessaria ridondanza, riducendo al tempo stesso i costi grazie all'utilizzo di firewall ridondanti multihomed. Nell'ambito di questa architettura, le richieste che i server Web inviano ai server di database passano attraverso i firewall ridondanti, che devono verificare l'origine e la destinazione dell'indirizzo e controllare che la richiesta sia legittima. Questa architettura di esempio è situata in corrispondenza di un data center Internet utilizzato dagli amministratori per eseguire la gestione remota dei sistemi. Di conseguenza, i firewall possiedono funzionalità VPN, che consentono di accedere in modo sicuro ai server Web e di database dalla rete aziendale.

I firewall di questa architettura devono supportare filtraggio dei pacchetti, Stateful Inspection, filtraggio a livello di applicazione e VPN. Devono inoltre essere in grado di sostenere un numero sufficiente di connessioni e di fornire un throughput adeguato per poter gestire le richieste in entrata inviate dagli utenti Web, le risposte in uscita dirette ai client, le richieste tra server Web e di database e le connessioni tra le reti VPN per la gestione dei sistemi. Un'architettura di produzione tipica prevede anche un'ulteriore rete connessa ai firewall o direttamente ai server per il backup dei dati.


COS'È UN FIREWALL
Un firewall è un software che crea una linea di difesa tra il proprio computer e Internet, monitorando i dati che partono e arrivano al PC per verificare che non siano potenzialmente dannosi. Non appena una comunicazione esce dai criteri di sicurezza, il firewall entra in azione e blocca - o consente di bloccare - lo scambio di dati. Un buon firewall, oltre a controllare se un programma tenta di accedere al PC dall'esterno, monitorizza anche se programmi installati sul PC tentano di connettersi a Internet e consente di regolarne l'accesso.
Sono strumenti realizzati per proteggere il PC, impedendo che i pirati informatici possano accedervi dall'esterno e rubare i nostri documenti. I più diffusi sono firewall software, che si installano come normali programmi, ma nelle aziende vengono anche utilizzati dei modelli hardware, più costosi e più sicuri. La funzione principale dei firewall è quella di tenere sotto controllo tutte le comunicazioni che vengono instaurare tra il nostro computer, la rete locale ed internet. Quando vengono rilevate attività anomale il programma si attive e ce lo comunica, chiedendo se vogliamo bloccare l'azione o farla proseguire: una risposta "distratta" in questo caso può aprire le porte a virus e malintenzionati, rendendo vulnerabile il computer. Fra le caratteristiche principali dei firewall, c' anche la possibilità di bloccare l'accesso ai siti potenzialmente pericolosi, compresi quelli con contenuti di dubbio "gusto".
COME FUNZIONANO I FIREWALL
Il principio sul quale si basa il funzionamento di qualsiasi firewall si può riassumere rapidamente con tre parole: controllare, consentire, bloccare. Controllare il traffico di rete sia in ingresso sia in uscita dal nostro computer per permettere o bloccare gli accessi, è un'attività che rischi di impegnare molte risorse di sistema. Se il nostro computer, inoltre, è collegato anche ad una rete LAN, le connessioni da tenere sotto controllo diventano ancor di più. Per evitare inutili sprechi di memoria e rendere più veloce il controllo dei dati in transito, i firewall creano una "Trusted zone", ovvero una zona sicura che comprende gli indirizzi IP relativi alle macchine che il programma deve considerare "sempre attendibili" e degne di fiducia. Fra i computer identificati da questi indirizzi e il nostro PC vengono quindi sospesi i controlli e, se disponibili, vengono applicate automaticamente delle regole di attività. Attraverso queste ultime possiamo per esempio consentire al nostro computer di accedere ai dti degli altri comptuer facenti parte della "trusted zone", ma non il contrario.
A COSA SERVE
Il firewall agisce sostanzialmente in due modi. Blocca o consente in automatico gli accessi da e per il PC elencando le sue azioni in un file (cosiddetto di "log"), oppure chiede espressamente all'utente, attraverso un avviso, quale azione deve intraprendere.
QUALI SONO I VANTAGGI
Nessuna intrusione indesiderata nel PC. Il Firewall è l'indispensabile complemento a Antivirus e Antispyware per contrastare le minacce provenienti dall'esterno: soprattutto dal web. Rileva, per esempio, gli attacchi generati da worm come CodeRed o Blaster.
Controllo sui programmi che accedono a Internet. In questo caso il Firewall lascia passare (o chiede se farlo) un qualsiasi programma che, per funzionare, deve connettersi al Web (si pensi ai lettori multimediali), ma impedisce che altri programmi dannosi come i trojan, possano agire.
Tutela della privacy
 


Guida: Costruire un Firewall
Ecco a voi la guida per costruire un firewall:
0 - Indice
1 - Introduzione
2 - Cosa e’ un Firewall
3 - Filosofia dei Firewalls
4 - Cosa non possono fare i Firewalls
5 - Costruirsi un Application Level GW
5-1 - Installazione Iniziale
5-2 - Gateway Tools
5-3 - Installazione dei servizi
5-4 - X11
5-5 - E chi protegge il Gateway?
6 - Amministrazione del Gateway
6-1 - Logs
6-2 - Integrita’ dei Files
6-3 - Altro
6-4 - Riassumendo
7 - Software Utile
8 - Bibliografia
1) INTRODUZIONE
Questo testo servira’ a chi come me si e’ interessato di firewalls in quanto
nella sua universita’ se ne è montato uno e quindi (un pò per forza
e un po’ per diletto) uno si deve interessare a certe cose che gli accadono
intorno
Questo testo non ha uno schema preciso e sarebbe piu’ un memorandum di quello
che sto’ facendo io in questo momento dato che ora un firewall sulla mia
macchina non esiste .
Non ci interesseremo solo di come installare un firewall ma anche di come
migliorare la sicurezza del nostro sito ed eventualmente dei consigli su
come Improvare ossia migliorare la sicurezza
del proprio sito e creare ( nel nostro piccolo ) una vera e propria ” ETICA
DELLA SICUREZZA DIGITALE” cosa che in Italia in questo periodo manca e
manchera’ per un bel po’ di tempo.
(per sfortuna o fortuna ????????????????) mah comunque….
Perdonatemi quindi le mille e mille cretinate che scrivero ‘ in questo testo e
andiamo avanti .
2) CHE COSA E’ UN FIREWALL
Noi intenderemo un firewall come una collezzione di componenti che si piazzano
in mezzo a 2 reti ( e noi assumeremo Internet e la nostra piccola rete ) che
possiedono le seguenti propieta’
A) Tutto il traffico di dati entrante ed uscente dalla rete interna e
viceversa deve passare attraverso il firewall.
B) Solo il traffico autorizzato puo’ passare impunemente attraverso il
firewall
C) Il firewall e’ immune ( o almeno si spera ) alle penetrazioni
illegali
Non male vero? Ora passiamo ad analizzare i vari svantaggi e vantaggi ad usare
una macchina ( e quindi investimenti ) configurata come firewall.
Una ottima ragione per montare dei firewalls e’ che dedicare e concentrarsi su
una macchina sola e interessarsi in buona parte della SUA sicurezza e’ molto
meglio che guardare tutta la sicurezza di una rete intera , magari costituita
da computers di marche differenti …..quindi
dedicare una macchina SOLO a questo scopo e’ ben piu’ vantaggioso che usarne
una general purpose e dirsi TANTO A ME NON MI SFONDANO !!! Tutta la mia
attenzione dopo sarta’ dedicata a curarmi della mia rete e non della sua ”
sicurezza” ( anche se …… mah) .
La seconda ( che e’ anche lo scopo di questo testo e’ che comunque una persona
che si occupa di firewall HA una coscienza di sicurezza ,cosa che i sistemisti
di ben piu’ che mezzo mondo non hanno.
3) FILOSOFIA DEI FIREWALLS
Siamo quindi ben piu’ precisi …… lo schema di un firewall e’ il seguente :
|————-|—— ——|————|
| | | |
| | GATEWAY | |
| | | |
|————-|—— ——|————|
Rete Filtro Filtro Rete
Interna Esterna
Filtro : blocca le trasmissioni di certe classi di dati
Gateway: macchina/e che provvede ai servizi per compensare l’effetto del
filtro
Generalmente si dice che la zona protetta o rete interna si chiama ZONA
DEMILITARIZZATA ( nota che un gateway possono essere piu’ macchine e quindi
essere divise in esterne od interne, le esterne sono detti BASTIONI)
Anche il piazzamento di questi firewalls e’ una cosa molto importante , e’
facile dire da un mondo interno ad uno esterno, ma in grosse aziende
e’ utile tante volte ISOLARE I DOMINI in termini
di sicurezza e quindi di MODULARIZZARE a livello ingegneristico la rete di
casa nostra individuando le varie aree di impiego .
Le ragioni di questo fatto sono che gli impiegati stessi possono essere
abilitati o meno a certi dati .
Noi potremo quindi vederci i nostri firewalls come grossi DIODI o DIGHE che
isolano i dati come piu’ lo preferiamo.
Andiamo con le prime classificazioni:
Un firewall e’ suddiviso come
a) Packet Filtering .
Poco costoso e facile da reperire e’ semplicemente il NOSTRO ROUTER e il
suo software …..(NB le aziende dovrebbero averne uno) Il nostro
installatore dovra quindi per esempio avere una lista dei siti autorizzati
o meno , ma non solo …saremo in grado di definire se dal sito
pippo.pluto.it vogliamo ricevere soltanto mail.
Configurare un Packet Filtering possiamo dire che e’ una operazione di 3
passi
1) DECISIONI su cio’ e non cio’ che e’ permesso .
2) definire tipi ammessi di dati in termini di operazioni logiche
3) Riscivere queste regole nel tuo sistema operativo .
esempio ….porta 25 SENDMAIL dalla rete a SOLO il tuo Gateway
Azione NostroHost porta lorohost porta commento
———————————————–
block - - CATTIVI - Non li vogliamo
allow Nostro-gw 25 - - connessione al SMTP
Pacchetti non esplicitamente espressi da una regola precedente sono
bloccati automaticamente ( KOOL!!!!! )
La filosofia di base e’ questa :
QUELLO CHE NON E’ ESPRESSO NON E’ PERMESSO.
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
ancora meglio sarebbe permettere chiamate uscenti alla porta 25
action source port dest port flags commento
——————————————————–
allow Noi - - 25 collegamento noi-loro SMTP
allow - 25 - - ACK loro risposta
Supponiamo l’FTP
action source port dest port flags commento
——————————————————–
allow noi per uscire
allow ack per risposta
allow >1024 traffico non FTP
Supponiamo ora di filtrare sessioni X11
Dovremo sapere tutti che per x abbiamo bisogno di un server al quale x11 si
connette via TCP , e che inoltre certe applicazioni devono poter essere
pilotate dall’ esterno.
In questo caso consigliamo di bloccare tutte le chiamate in ingresso sulle
porte 6000-6100 almeno ( dipende dal numero di utenti ) .
b) Application level gateways
Usato in unione agli altri 2 come protezione aggiuntiva minimale per
esempio nel caso dell’ X11 visto sopra …..
Svantaggio / Vantaggio e’ che e’ molto generale e che quindi se noi
useremo programmi molto particolari non serve a molto.
E’ come se avesse gia’ un DB di liste come le precedenti a seconda di cio’
che ho lanciato nel mio sistema.
c) Circuit level Gateways
(Il migliore per chiamate in uscita) controlla solamente connessioni TCP .
Il chiamante chiama una porta del gateway con TCP che lo connette con
qualche cosa all’ infuori della rete . Durante la connessione il GW registra
tutte le azioni commesse dal malcapitato ( caso mia univ.) .Funziona come se
fosse un filo . La connessione puo’ essere automatica e espressa direttamente
dall’ utente (In questo caso il GW si chiama PROXY). Non e’
necessario loggare tutto cio ‘ che esce …ma basterebbe gia’il numero di bytes
e la destinazione per una ottima loggatura . Greppando su un utente o su siti
si scopre che cosa ha combinato il CONTROLLATO .:-)
Naturalmente potremo dire il tempo di connessione ( cosa che da noi non
fanno) e una lista di utenti abilitati all’ accesso dall’ esterno .
4) COSA NON POSSONO FARE I FIREWALLS
Anche loro hanno delle limitazioni …come tutti del resto .
Per esempio sono completamente indifesi agli attacchi su porta alta come puo’
essere il peeking ….ma se il GW rifiuta connesioni X11 siamo a posto .
Anche una corretta manutenzione del nostro gateway e’ importante ….se ce ne
freghiamo della sicurezza dei nostri programmi tali che possono essere
Sendmail Telnetd etc etc non montiamoci un firewall …e’ un aiuto ma non
e’ la soluzione ;e’ un programma anch’esso come tutti gli altri e quindi
baggato come tutti gli altri.
Comunque per un attacco medio della stragrande maggioranza dei Lamahs e’ ben
piu’ che sufficiente …..
5) ed ora quel che tutti aspettavano ……….
COSTRUIRSI UN APPLICATION LEVEL GATEWAY
Tratteremo l’analisi di costruzione di un Application level gateway con
sicurezza ad alto livello . Nota che il seguente viene usato ( teoricamente )
dall’ At & T .
Considereremo basilari :
1) Un computer unix (LINUX RULEZZ)
2) Routers
3) software tools descritti sotto
4) demoni di network trovabili su Internet …( solo versioni recenti)
La costruzione descritta dovrete adattarvela al vostro computer .
Assumeremo che :
- Gli utenti si sappiano tenere i dati di sistema tipo passwd e altro per loro
conto senza spedirli in giro per il mondo
- Le password non saranno idiote
- Gli hacker che ci attaccano sono hacker ” normali “… non dei geni !.
- I dati interni sono di media importanza.
Abbiamo 3 sottotipi corrispondenti a 3 livelli di sicurezza crescenti :
————-Inside——-GW———-Router————–INTERNET (A)
-Inside—-GW-Inside—-Privatenet—-GW-Outside–Router–INTERNET (B)
-GW-Inside—–Inside—–Router——GW-Outside–Router–INTERNET (C)
(choke)
5.1) INSTALLAZIONE INIZIALE
Iniziamo a dire che i comandi del firewall devono essere dati in maniera
fisica e direttamente dalla console del GW .. un accesso fisico e’ ben piu’
difficile di uno da Internet per un hacker.
Durante la configurazione iniziale ha senso connettere gli host a una rete
“sicura” quindi:
- Per A) e B) spegnere IP forwarding e source routing dai kernels .
Per C) non e’ un passo importante , ma si deve essere sicuri che i
dati non passino attraverso il router choke
- Il kernel ha bisogno di alcune configurazioni aggiuntive.
*e’ configurato per un numero sufficente di processi? un migliaio e’ OK
per una rete gia’ tosta.
*eliminare eventuali assegnamenti di limite di uso CPU ai processi del
GW .
*verificare che vi siano sufficenti mbuf configurati ..dato che li
useremo spesso.
- abbondare con la memoria …32 mega e’ il MINIMO.
- settare accuratamente lo spazio di SWAP .
- cancellare tutti i servizi di network , commenta /etc/inetd.conf.
- togliere TUTTI i compilatori.
- eliminare programmi con lo sticky bit non necessari o non capiti.
- eliminare accounts non voluti dalla macchina , non vi deve essere
nulla se non root e passwords usuali di amministrazione .
- riavviare e netstat -a per verificare che tutti i servizi non sono
piu’ presenti.
- settare /etc/motd per avvertire gli utenti del log continuo e
persecutorio ….motivi legali e psicologici.
- Configurare le partizioni dell ‘ HD ..ricordati che fuori possono
leggere logs diretory di spool e ftp directory quindi tutte queste
devono finire su partizioni diverse.
- connettere l’host alla rete esterna.
- aggiungere l’entrata ARP del router agli host . se il router non
annuncia le sue informazioni di ARP solo i nostri 2 hosts sapranno come
raggiungerlo.
- Sull’ host esterno aggiungiamo il classico routing di default.
- Salva tutta la configurazione degli hosts e mettila sottochiave .
considera attentamente l’idea di un backup giornaliero.
Configuriamo il Choke ossia il router il quale ha una configurazione strana in
quanto abbiamo 2 hosts che lo possono usare .. Quindi :
- eliminare l’accesso di telnet dal router , se si possiede un cisco
cio’ vuol dire che i controlli del cisco stesso saranno svolti solo
dalla console.
- eliminare accessi all ARP dal router , in particolare il router non mi
deve rispondere alle richieste di ARP tipo:
no service_finger
no ip redirects
no ip route-cache
no ip proxy-arp
no mop enabled
no ip unreachables
- istallare nella ARP degli accessi per gli hosts interni ed esterni ,
nota come non sia necessario un routing …infatti lui si connette
solamente con le networks locali.
- Settare un filtro di pacchetti che nega tutti gli accessi agli hosts
interni .
- per sicurezza estrema bloccare anche tutti i pacchetti diretti all’
indirizzo ethernet del choke .
Sembra facile vero? considerate che avete appena configurato le macchine in
modo da poterle elaborare !!!!!!!
Ora infatti abbiamo bisogno di alcuni attrezzi …..
5.2) GATEWAY TOOLS
Abbiamo disponibili in rete alcuni ” Tools ” essenziali freeware per la
costruzione del nostro gateway .
Prendiamoli in analisi :
TCP WRAPPER : Sappiamo ( o almeno dovremo saperlo ) che in un sistema Unix
———– abbiamo alcuni demoni uno tra i quali Inetd e’ in attesa di
eventuali connessioni dall’ esterno , pronto ad attivare
i programmi relativi al tipo di connessione richiesta.
Quindi il nostro gateway li dovra’ attentamente valutare (
/etc/inetd.conf ). Per esempio abbiamo che :
#
#Procedure interne
#
echo stream tcp nowait root internal
dischard stream tcp nowait root internal
chargen stream tcp nowait root internal
daytime stream tcp nowait root internal
time stream tcp nowait root internal
echo dgram udp wait root internal
dischard dgram udp wait root internal
chargen dgram udp wait root internal
daytime dgram udp wait root internal
time dgram udp wait root internal
#
#Servizi Reali
#
ftp stream tcp nowait /usr/sbin/ftpd wu.ftpd
Abbiamo che quindi questo file e’ di enorme importanza per la
nostra configurazione .
Il Tcp Wrapper provvede a effettuare un controllo sulle
connessioni quindi se noi modificheremo la precedente come :
ftp stream tcp nowait root /gatew/tcpd /usr/sbin/ftpd
il nostro wrapper controllera’ in /etc/hosts.allow se accettare
la connessione .
Questo pacchetto serve quindi per determinare eventuali politiche
di connessione del nostro gateway
RELAY : E’ una applicazione propria degli Apllication-Level per loggare
—– tutte le connessioni che il nostro computer effettua all’ esterno
Supponiamo quindi di voler offrire al mondo la nostra stampante
(!!!!!) e quindi ammettere delle connessioni sulla porta 515 (
vedi sempre /etc/services) abbiamo che quindi il /etc/inetd.conf
dovrebbe essere :
printer stream tcp nowait daemon /gatew/relay tcp!pserver!printer
quindi abbiamo che pserver ,un programma che copia i bit in
entrambe le direzioni di ingresso e in uscita, abilita la
connessione .
TELNETD : Non staro’ esattamente a discquisire sul fatto che le versioni
——- aggiornate sono da preferirsi a quelle vecchie .:-) Possiamo
inoltre far notare come piazzando un RELAY visto prima in
maniera da loggare il Telnetd e quindi vedere cosa i nostri
utenti effettivamente fanno non e’ male …..ma alla mia
universita’ queste cose TROPPO SEMPLICI non si fanno ….quindi
si preferisce TOGLIERE IL TELNET ….che e’ piu’ sicuro
(TZE!!!!!) Potremmo per esempio sostituire il comando di login
con eventuali forme piu’ avanzate con le quali MAGARI ci potremmo
anche permettere di LIMITARE I LOGIN ESTERNI come tempo di Cpu
etc …….
SERVIZI FTP : Come precedentemente discusso avremo che inoltre possiamo
———– permetterci di usare il GW come PROXY e quindi di creare links
nuovi di zecca ( e ampiamente loggabili )
5-3 INSTALLAZIONE DEI SERVIZI
L’installazione dei servizi penso che sarebbe la parte piu’ noiosa e piena di
verifiche sotto verifiche etc che tutta la installazione del firewall puo’
offrirci ..ma tante’ …se deve fa’ !
Nota che all ‘inizio di questa fase abbiamo bisogno di TUTTI gli IP numerici
della nostra rete …altrimenti sono cavolacci quando , se per pura sfiga , il
nostro computer cerca di fare un resolve .
MAIL : Abbiamo che naturalmente sara’ il nostro GW a prendere e mandare la
—- posta …..quindi cio’ significa che deve essere correttamente
configurato per sopportare qualsiasi tipo di errore.
Supponiamo che la posta viene salvata su un computer apposito
detto PIPPO configurato con tutti gli uucp che servono .
Vogliamo che quindi ( SFATICATI ) la posta arrivi su PIPPO attraverso
il GW .
- Configuriamo il mailer esterno se possiamo a ricevere posta sulla
26 per esempio .
- Sul computer CHOKE
action src port dest port flags comment
—————————————————
allow EXTERN >1023 GW 26
allow GW 26 EXTERN >1023 ACK
che mi accetta la connessione .
Quindi aggiungeremo in /etc/inetd.conf
port26 stream tcp nowait daemon /gatew/tcpd /gatew/relay tcp!PIPPO!25
Fico vero? Non dimenticate di connettere la porta 26 in
/etc/services
Per una connessione diretta con l’esterno abbaimo che
action src port dest port flags comment
—————————————————
allow GW >1023 EXTERN 25
allow EXTERN 25 GW >1023 ACK
TELNET :Possiamo permettere a degli utenti autorizzati fuori dal sistema di
—— effetturare connessioni dentro il sistema magari con login sonoio
Il relay connette l’utente con il programma di autenticazione di
PIPPO e se il login e’ OK l’utente puo’ fare un rlogin dove vuole.
Quindi :
- mettiamo sonoio nel passwd
sonoio::500:501: LOGIN ESTERNA:/gatew/usr/sonoio:/gatew/sonoio.sh
- il demone di telnetd
telnetd stream tcp nowait root /gatew/tcpd /usr/sbin/telnetd
- vediamo ora /gatew/sonoio.sh
#!/bin/sh
/gatew/relay tcp!PIPPO!666
- e relative connessioni per il choke
action src port dest port flags comment
—————————————————
allow GW >1023 EXTERN 666
allow EXTERN 666 GW >1023 ACK
- il servizio in PIPPO
port666 stream tcp nowait root /gatew/sonoio sonoio
- aggiungere porta in /etc/services
PROXY : installazione :
—–
- in PIPPO per EXTERN . Useremo la porta per es 402 qui di la dovremo
aggiungere in /etc/services e /etc7inetd.conf
- sempre il choke (uff…)
action src port dest port flags comment
—————————————————
allow GW >1023 EXTERN 402
allow EXTERN 402 GW >1023 ACK
- in EXTERN
proxy stream tcp nowait daemon /gatew/tcpd /gatew/proxy
-sempre in EXTERN aggiungi la 402 in /etc/services
Considero sempre una installazione minima ..altri servizi a piacimento sono
comunque sulla stessa linea.
5-4 X11
Per questo sevizio che comunque e’ sempre molto pericoloso in quanto consente
di controllare in modo remoto il video , mouse , tastiera etc , abbiamo una
serie di pacchetti che comunque non sono di difficile reperibilita’ tipo :
xp11 - xgate : Per esempio :connetto il server X11 che risiede sulla 6000 + un
numero random e trasmetto il risultato al mio xp11 il quale genera
un X11 $DISPLAY per quella porta .
Se mi giunge una richiesta questa e’ compito della xgate che crea
un socket random anche in questo caso e informa internamente xp11
di cio’ . Se l’utente e’ autorizzato ( configurazione xgate) si
crea il collegamento.
5-5 E CHI PROTEGGE IL GATEWAY?
Abbiamo che un largo uso di servizi sono gia’ protetti dal tcp wrapper stesso,
ma servizi richiesti per esempio da localhost o 127.0.0.1 possono essere
comunque disabilitati mettendosi cosi’ se’ stessi nella lista di un possibile
nemico .
Abbiamo possibili attacchi sulla nostra syslog , e quindi noi potremmo
controllare il demone e uploadarlo sovente .
Anche il choke e’ un elemento vulnerabile del nostro sistema. quindi dovremo
disabilitare tutte le chiamate a questo computer ….quindi :
action src port dest port flags comment
——————————————————-
block 127.0.0.1 no loopback
block 514 no syslog
block choke no choke
block PIPPO no pacchetti a pippo
allow tutto il resto OK
6 AMMINISTRAZIONE DEL GATEWAY
Prendiamo atto che anche il nostro mitico gateway e’ una macchina e quindi
avra’ bisogno di manutenzione ….quindi let’s start..:
6-1 Logs : i log creati dal GW possono crearci una serie di problemi in quanto
——– se la nostra rete e’ massiccia essi diverranno di proporzioni esagerate
… mediamente 20 30 mega al giorno !!! Quindi da cui il problema
di prendere solo le informazioni necessarie e fondamentali .
Ovviamente tanto per dire un accesso illegale dall’ esterno o
comunque per esempio un tentativo errato di login tipo root o una
lettura del passwd . Anche la locazione di questo file e’ una fase
critica del progetto in quanto deve risiedere in una macchina
interna e ben protetta , invece di risiedere all’ esterno e quindi
di possibili modifiche da parte di incursori esterni brutti e
cattivi .
6-2 Integrita’ dei Files : Un buon backup dei propri dati e’ un imperativo da
———————– rispettare sempre allo scopo di poter ripristinare
il sistema. Un altro concetto sempre legato al backup e’
quello di monitorare costantemente il nostro sistema .
Possiamo vedere attraverso i files vecchi come il sistema e’
cambiato dalle volte precedenti ….anche per cause non- naturali
tipo accessi illegali …vedasi RootKit Attacks e le varie
directory tipo bin root e uucp ( il vecchio giochetto del rhosts + +
e’ sempre valido ) e anche i vari lavori di cron eseguiti di notte
tipicamente .
Considerate di iniziare a usare pacchetti tipo il TRIPWIRE .
6-3 Altro : - Come fa’ root a loggarsi sul gateway? A parte concedere l’accesso
——— alla console solo a root si potrebbe consigliare telnetd protetti
dal tcp wrapper.
- Attenzione ai trasferimenti di file binari via FTP …..anche
dall’ interno .
- Cambiare se possibile i nomi di file di log.
- Loggare se possibile i tentativi di intrusione.
6-4 Riassumendo :
- Ftp : protetto da chroot , nessun privilegio.
- SMTP : per la posta e il talk usare possibilmente SOLO l’ UPAS
..un pacchetto piu’ sicuro del sendmail ma meno noto .
- Telnet : connesso direttamente all’ interno ma a un programma che
effettua l’autenticazione .
- Printer : protetta dal tcp wrapper
- Proxynfs : protetto dal wrapper , eseguito dall’ interno in una
directory con il chroot
- Telnet verso esterno : protetto dal wrapper , accesso dall’
interno , deve sfociare in un menu’ del proxy .
NB …uno dei pacchetti liberamente accessibili per l’applicazione di queste
piccole regole esistenziali e’ il TIS FIREWALL TOOLKIT che implementa benissimo
un Application level ed e’ studiato per l’uso su macchina singola . Abbiamo
protezione estrema per Rlogin Telnet e Ftp . I nostri cari utenti potranno
quindi uscire sulla Rete sulla porta corrispondente del nostro gateway
.Possiamo inoltre permettere autenticazioni tipo utente@destinazione . Il
traffico di sendmail e’ controllato da un programma particolrare che impedisce
l’accesso a demoni BAGgati .
Ftp anonimi sono in una bella directory chroot con un passwd differente da
quello reale e solo per accessi ftpd .
________________________________________
7- SOFTWARE UTILI :Dunque…. un hacker trova la maggior parte delle sue info su internet ….bene
…anche noi andremo a prendere le nostre proprio la’ .
TCP WRAPPER
ftp.win.tue.nl /pub/security/tcp_wrapper
SECURELIB ( addon per SunOs per eliminazione inetd)
eecs.nwu.edu /pub/securelib.tar
TIS FIREWALL TOOLKIT
ftp.tis.com /pub/firewalls/toolkit
PROXY X11
crl.dec.com /pub/DEC/xforward.tar.Z
IDENTD DAEMON
ftp.uu.net /networking/ident
SWATCH ( associazione azioni con logfiles)
sierra.stanford.edu /pub/sources/swatch.tar.Z
SCREEND ( converte il nostro sistema in un filtratore di pacchetti)
gatekeeper.dec.com /pub/DEC/screend/screend.tar.Z
TRIPWIRE (controllo pacchetti alterati)
ftp.cs.purdue.edu /pub/spaf/COAST/Tripwire