La Sicurezza

a cura di Edoardo Sperindè e Enrico Lecchini

Revisori: Claudio Bizzarri, Franco Pirri

Sistemi per reti sicure

Slide 1/6

Il Packet Filter è un dispositivo che, operando al livello di trasporto (quarto livello OSI), è in grado di compiere una selezione dei pacchetti in transito in base all'indirizzo della sorgente, della destinazione e dei campi di controllo presenti nei pacchetti, scartando quelli che non rispettano le regole imposte. Il vantaggio di questo metodo consiste nel fatto che, analizzando soltanto gli header di terzo e quarto livello, non si hanno significative perdite di prestazioni della rete. Quasi tutti i dispositivi operano nella seguente maniera:

Il criterio di filtraggio deve essere memorizzato per ogni porta del dispositivo.
Quando il pacchetto arriva alla porta, l'header del pacchetto è analizzato. I migliori Packet Filter esaminano solo l'IP,il TCP o l'UDP header.
Le regole di filtraggio sono memorizzate in uno specifico ordine. Ogni regola è applicata al pacchetto nell'ordine in cui è memorizzata.
Se almeno una regola blocca la trasmissione o la ricezione del pacchetto, il pacchetto è rifiutato.
Se una regola permette la trasmissione o la ricezione di un pacchetto, al pacchetto è applicata la regola successiva.
Se il pacchetto soddisfa tutte le regole è accettato.

Analizzando le regole 4 e 5 si può vedere che è molto importante posizionare le regole nel corretto ordine. Un errore frequente nella configurazione delle regole di filtraggio è posizionarle in ordine sbagliato. Se ciò accade si può negare un servizio valido e permettere un servizio da negare.
Per maggiori chiarimenti sul Packet Filter consultare il documento: http://telemat.die.unifi.it/book/Internet/Security/Firewall/fwscre.htm.
Per eventuali richiami ai livelli OSI consultare il documento: http://telemat.die.unifi.it/book/corso_telematica/lezione_01012/lezione_01012.htm.

Slide 2/6

Con il termine Firewall si identifica tutta una serie di elementi, software e hardware, preposti a proteggere un determinato dominio o rete privata. A differenza del Packet Filtering, i Firewall sono gateway che possono operare fino al settimo livello OSI (Application Firewall). Le principali caratteristiche di tali dispositivi sono:

Un maggiore grado di sicurezza: è possibile distinguere i servizi richiesti dai vari pacchetti e quindi compiere una discriminazione in base a questi.
Una maggiore versatilità: la discriminazione sui servizi richiesti può avvenire congiuntamente all'analisi dell'indirizzo di provenienza.
Un aumento dei costi: in quanto l'aumento dei tempi di elaborazione su ogni singolo pacchetto porta ad una richiesta computazionale maggiore e quindi all'aumento del costo del dispositivo.

Questo tipo di soluzione può essere implementato in varie configurazioni a seconda delle esigenze di prestazioni e costi.
Per maggiori chiarimenti sui Firewall consultare il documento: http://telemat.die.unifi.it/book/Internet/Security/Firewall/fwfw.htm.

Slide 3/6

In questa configurazione il Firewall è costituito da una macchina con due schede di rete (Dual Homed Host) a cui è stata disabilitata la funzione di routing. In tal modo le reti risultano completamente isolate anche se possono entrambe accedere a eventuali applicazioni poste sul Dual Homed Host stesso. Se quest'ultimo lo permette si può anche compiere uno scambio di dati tra le due reti senza che vi sia un effettivo interscambio di pacchetti.
Per non compromettere il livello di sicurezza instaurato dal Dual Homed Host non deve essere permesso a nessun utente di entrambe le reti di avere un accesso diretto a questo. E' inoltre opportuno proteggere fisicamente tale macchina per evitare che tutte le misure di sicurezza prese vengano scavalcate da un accesso diretto alla macchina.

Slide 4/6

Con il termine bastion host si identificano tutti quei Firewall host critici per la sicurezza della rete in questione; data la sua importanza nella sicurezza di rete tale host deve essere ben fortificato e l'accesso diretto a tale host deve essere massimamente controllato. Il bastion host effettua la funzione di interfaccia tra la rete interna e quella esterna e per questo è spesso soggetto di attacchi dall'esterno ma del resto la sua più classica configurazione d'uso è quella di primo ed unico punto di contatto tra privato e pubblico dominio.

Slide 5/6

Il Firewall, essendo una macchina connessa direttamente alla rete esterna, può essere esso stesso passibile di attacco. Per evitare ciò possiamo utilizzare la configurazione sopra riportata che vede uno Screening Router in serie con un Dual Homed Host. Il vantaggio di utilizzare questa combinazione risiede nel fatto che lo Screening Router instaura un primo livello di protezione sulla rete ed in particolare sul Firewall operando un primo filtraggio sui pachetti provenienti dall'esterno. Successivamente il il Firewall opererà un filtraggio a livello applicativo.
Inoltre si viene a creare una zona di rete intermedia chiamata DMZ (Demilitarized Zone), parzialmente sicura in quanto protetta solo dallo Screening Router, ma proprio per questo con prestazioni meno penalizzate dal controllo di sicurezza. In questa zona trovano posto tutti quei servizi non vitali che richiedono un veloce accesso all'esterno. Bisogna comunque tenere presente che le macchine inserite nella DMZ fanno parte della rete interna e come tali devono essere fisicamente protette.

Slide 6/6

Nella configurazione sopra riportata è stata creata una vera e propria sottorete schermata (Screened Subnet) tra la rete interna e quella esterna. Gli Host appartenenti ad entrambe le reti possono accedervi ma non è ammesso alcun flusso diretto di pacchetti.