Il
Firewall è tra gli strumenti più adatti e facili da
utilizzare per difendersi dagli attacchi nella rete!.
Download
Area
Scarica
i firewall più utilizzati
Guide
Scarica
le guide
I
sistemi Firewall ed il Web
Tutto
quello che c'è da sapere sui sistemi Firewall.
DOWNLOAD
AREA
^
On
Top
Guide
FAQ FIREWALL
NT come fare per il
firewall?
Links
Firewall
La
completa Faq
Firewalls
Introduzione
al Firewall
Firewall
FAQ File
Come
prendere un Firewall
Firewalls
Complete - THE BOOK
IT
Security Cookbook - THE BOOK
Understanding
Firewalls by Rhino 9
I
difetti dei Firewall Firewalls
Firewall
Basics from Microsoft
HAker Security
Solutions Informatics
Company specialized in Firewall and security
technologies development.
CERT Group
Specializes in intrusion detection systems that
integrate both network and host-based to automatically
detects and responds to attacks to a company’s
information systems and network infrastructure. Proxy
based firewalls are part of an overall security package.
Firedoor Network
Security Firedoor provides a complete software
package with high security solutions for Intranets and
Extranets. Firedoor products are divided into two parts;
Firedoor Secure Server and Firedoor Secure Client.
SecurityDogs.com
Links and information on Firewall security, Virtual
Private Networks (VPN), Network Address Translation (NAT),
and Quality of Service (QoS).
ConSeal Private
Desktop ConSeal Private Desktop and other personal
Firewall products for all Internet users.
Firewalls
FAQ Background & Basics;
Design & Implementation Issues; Various Attacks.
^
On
Top
I
SISTEMI FIREWALL ED IL WEB
Prima
di iniziare ti consiglio di scaricare il file zip,
contiene delle immagini esemplificative che ti
aiuteranno a comprendere meglio le procedure ed i
passaggi elencati di seguito.
Download
Firewall.zip (171
Kb)
Con
il termine FIREWALL si tende ad identificare in modo
generico tutta una serie di funzioni e di
apparecchiature che servono a proteggere un determinato
dominio o rete privata, da una LAN privata ad Internet
nel suo complesso. Di Firewall ne esistono varie
versioni e si può implementare con diverse
configurazioni, però la realizzazione finale dovrà
tener conto di due esigenze spesso opposte quali costi e
prestazioni. La soluzione più efficace (se propriamente
implementata) risulta quella dedicata, che include
hardware e software appositamente prodotto, con costi
che aumentano sensibilmente. Esiste poi un altro
approccio che è quello di adattare pacchetti già
esistenti, alle esigenze specifiche del caso.
Andiamo ora a vedere come questa protezione si
applica al caso del Web. Il Web crea una connessione tra
la porta della rete sul computer client Web e la porta
della rete sul server Web. Il Firewall controlla e
gestisce la connessione tra le due porte. Nella figura 2
viene illustrato un firewall, situato fra la porta P1
della rete del client Web, sulla rete privata interna, e
la porta P2 della rete del server Web su Internet.
Il
firewall separa e protegge la rete privata, definendo e
rafforzando i metodi strutturati per il traffico di rete
in modo che passino attraverso il firewall. I computer
all'esterno del firewall devono attenersi a questa
struttura, definita dal firewall, per ottenere l'accesso
alle risorse, agli host, alla rete ed alle informazioni
sulla rete interna. Il firewall limita l'accesso alla
rete interna a una serie di computer, ai singoli e ai
servizi di sistemi che sono stati autorizzati. Il
traffico di rete è "legale" o autorizzato,
quindi può passare attraverso il firewall, a patto che
si attenga alla struttura definita dal firewall. Al
traffico casuale non strutturato non è permesso
passare. La figura 2 mostra un accesso verso l'esterno,
e questo rappresenta il traffico di tipo più comune che
gli amministratori di firewall devono supportare. Nella
figura 3 invece viene illustrato il traffico interno del
Web. In questo caso un amministratore del firewall
dovrebbe offrire un servizio Web dall'interno del
firewall.
Il traffico interno è più difficile da gestire in modo
sicuro, dato che il firewall deve permettere ai client
remoti, che possono essere inaffidabili, di penetrare
nel firewall per accedere ai documenti Web. Esistono
diverse tecnologie che possono essere utilizzate dai
firewall per strutturare l'accesso agli host sulla rete
interna: router, gateway di circuito, proxy e gateway di
applicazione.
^
On
Top
Accesso
al Web mediante un router che filtra i pacchetti
Funzionamento
I Firewall packet filter sono dei router posti sul
gateway che filtrano i pacchetti in ingresso e in
uscita. In genere viene posto tra due o più segmenti di
rete, segmenti classificati in interni, se appartengono
alla rete o esterni se collegano ad Internet. Il
filtraggio viene fatto confrontando i dati contenuti
nella header del pacchetto con quelli imposti dal
gestore della Firewall sulle tabelle di routing. In base
al responso del confronto il pacchetto potrà attraversare
il Firewall o meno. Operando al livello di trasporto
(quarto livello OSI), il packet filter è in grado di
compiere una selezione dei pacchetti in transito in base
all'indirizzo della sorgente, della destinazione e dei
campi di controllo presenti nei pacchetti, scartando
quelli che non rispettano le regole imposte. Il
vantaggio di questo metodo consiste nel fatto che,
analizzando soltanto gli header di terzo e quarto
livello, non si hanno significative perdite di
prestazioni della rete.
I principali controlli che si possono fare con il
sistema packet filter sono:
•
Controllo sull'indirizzo del mittente e del
destinatario.
• Controllo sulla porta del server richiesta per il
collegamento.
• Controllo sul tipo di servizio richiesto (telnet,
ftp,...).
• Verificare se si tratta della prima connessione.
Le regole di filtraggio sono memorizzate in uno
specifico ordine. Ogni regola è applicata al pacchetto
nell'ordine in cui è memorizzata. Se una regola blocca
la trasmissione o la ricezione del pacchetto, il
pacchetto è rifiutato.
Vantaggi
• Economico.
• Può essere realizzato sia con struttura hardware
che software.
• E' un meccanismo trasparente che non ostacola il
normale utilizzo della rete.
Svantaggi
• I controlli che si eseguono sono a livello TCP/IP e
non a livello dati, quindi non sono consentiti
monitoraggi molto raffinati. Un esempio di impostazione
del packet filter potrebbe essere di impostare le
tabelle di instradamento in modo tale da ignorare tutto
il traffico in uscita e in entrata che non richieda la
porta 80, oppure potrebbe consentire l'accesso solo ai
pacchetti provenienti da una particolare rete. Come si
vede questo non è un sistema molto flessibile e neppure
sicuro, data la relativa facilità con cui si possono
manipolare i dati della header dei pacchetti.
• Non è sempre facile impostare, testare e gestire le
regole di filtro di una tabella di instradamento ed
errori in queste fasi potrebbero essere fatali per la
sicurezza del sistema.
• Una volta che un host esterno ha superato la
Firewall, esso ha accesso diretto ad ogni host della
rete interna. Una volta entrati è quindi facile per gli
aggressori sfruttare eventuali buchi nei sistemi di
sicurezza dei singoli servizi forniti dagli host
interni. E' necessario uno sforzo maggiore per mantenere
la rete sicura e una particolare attenzione va posta
sugli host che prestano servizi all'esterno.
• L'amministratore del firewall non dovrebbe
specificare tanto le porte quanto i servizi del sistema
che hanno diritto di accesso.
• Sono difficili da configurare e da gestire.
• Peggiorano le prestazioni dei dispositivi in cui
sono implementati.
^
On
Top
Accesso
al Web mediante un gateway di circuito
Funzionamento
Questo tipo di Firewall eseguono dei controlli a livello
di sistema operativo, quindi a livello superiore di
quello dei packet filter.
I Firewall gateway di circuito sono composti da due
software: uno sulle singole macchine della rete interna
detto libreria socks, uno che risiede sulla macchina del
gateway detto programma di relay.
La libreria socks è un pacchetto software ampiamente
disponibile che permette appunto di utilizzare un
gateway di circuito da parte del browser del client,
gestendo le tre chiamate al TCP/IP del client: connect(),
socket() e bind().
Quando un client della rete interna esegue una chiamata
per un server esterno, il browser web del client
reindirizza la chiamata, tramite la libreria socks, che
agisce come un proxy (descritto successivamente), al
programma di relay sul gateway. Questo reindirizzamento
avviene in modo del tutto trasparente per l'utente. Il
programma di relay farà in modo che solo i pacchetti
autorizzati passino attraverso il Firewall, copiandoli
dalla porta interna a cui li aveva indirizzati il
browser (libreria socks) alla porta esterna dedicata ai
server esterni.
Procedimento analogo si esegue per i messaggi in
ingresso.
In questo modo la connessione non avviene più
direttamente con l'host remoto, ma avviene tramite il
programma di relay.
Vantaggi
• I controlli vengono fatti ad un livello di sistema
operativo.
• La libreria socks può essere collegata a diverse
applicazioni (telnet, ftp,ecc..).
• Il meccanismo di sicurezza è ben nascosto
all'utente.
Svantaggi
• Forma e contenuto di questa libreria variano da
sistema operativo a sistema operativo di conseguenza
possono nascere problemi di portabilità. Potrebbe
essere difficile trovare una versione socks compatibile
con tutti i sistemi operativi.
• Occorre che ogni browser della rete interna venga
ricompilato con la libreria socks.
• Nel caso di reti di grandi dimensioni questa
operazione può risultare molto complessa e costosa.
Alcuni browser sono però venduti già con il supporto
socks, quindi non è necessaria la ricompilazione.
^
On
Top
Accesso
al Web mediante un gateway di applicazione
Funzionamento
I Firewall che consentono l'accesso alla rete mediante
gateway di applicazione, detti anche proxy, sono sistemi
che risiedono sul computer del gateway.
Il funzionamento del gateway di applicazione (proxy) è
simile a quello del software di relay, il proxy infatti
esegue tutte le operazioni che esegue il software di
relay ed altre ancora , esso infatti esso infatti
incorpora parte del linguaggio e del protocollo
dell'applicazione. Questo significa due cose: la prima
è che il gateway di applicazione esegue controlli
sull'accesso a livello più alto , ovvero a livello di
applicazione, la seconda è che ogni servizio specifico
(telnet, ftp, http,ecc..) necessita di un proprio
gateway di applicazione. Con questo sistema si possono
eseguire filtraggi selettivi in base al tipo di
richiesta, cosa che un relay dei gateway di circuito non
era in grado di fare in quanto non in grado di
interpretare i diversi protocolli .Un gateway di
applicazione può ad esempio richiedere l'autenticazione
dell'utente quando cerca di importare o esportare dati.
Per ogni nuova connessione di rete viene creato un nuovo
proxy,in quanto ognuno di essi è in grado di
controllare solo un singolo flusso di traffico tra due
specifici hosts. Se ad esempio viene eseguita una
richiesta di connessione FTP, il Firewall creerà un
nuovo proxy FTP anche se ne esiste già un altro.
Vediamo adesso il funzionamento di questo sistema.
Quando si esegue una connessione ad un server esterno,
il browser reindirizza la richiesta in modo trasparente
al proxy sul Firewall. Questo reindirizza mento avviene
mediante un'impostazione del file di configurazione del
browser o mediante una variabile di ambiente sul
computer del client. A questo punto il gateway di
applicazione esegue i controlli per cui è strato
configurato e, in base ai risultati ottenuti, trasmette
o meno i pacchetti dalla porta P1 interna del client
alla porta P2 esterna del server sul Firewall.
In questo modo il gateway di applicazione agisce come un
server nei confronti del browser e come un client nei
confronti del server WEB.
I gateway di applicazione possono proteggere i sistemi
all'interno della Firewall filtrando in modo selettivo i
caratteri, progettati in modo pericoloso per una
determinata applicazione, mentre copiano i dati da una
porta all'altra. Un gateway di applicazione potrebbe
usare la propria abilità per comprendere il protocollo
di applicazione e filtrare i motivi di carattere o le
sequenze di comandi che non sono normali per quella
applicazione e filtrare i caratteri come ";"
che potrebbero danneggiare uno script della shell che
contiene system( ).
Vantaggi
• Consente un filtraggio molto selettivo
• Non si ha più una connessione diretta tra host
interni ed esterni, ma solo attraverso il software del
proxy che è stato scritto per fornire un elevato
livello di sicurezza e poi accuratamente testato per
trovare eventuali buchi.
• Riduce il carico di lavoro per rendere sicura i
computer interni, in quanto con questo sistema la rete
diventa praticamente invisibile dall'esterno, ottenendo
così ottimi livelli di protezione.
• Permette di eseguire servizi di auditing (controllo
delle connessioni), in quanto è in grado di eseguire
analisi accurate del traffico in ingresso e il uscita.
Le stesse operazioni richiederebbero complesse analisi
di tutte le reti esterne accessibile , se eseguite su
sistemi packet filter .
• In genere è una struttura facilmente configurabile
e gestibile. Quest'ultima fase in genere è infatti
gestita da software del client.
Svantaggi
• Ogni applicazione richiede uno specifico proxy
• Il software del gateway di applicazione può essere
molto complesso, può quindi accadere che contenga
errori non rilevati che potrebbero mettere a repentaglio
il funzionamento del Firewall.
^
On
Top
Impostazione
di un server Web all'interno di un firewall
E'
estremamente difficile rendere sicura una connessione
fra un computer presente in Internet ed un computer che
è all'interno di un firewall.
Infatti lo scopo principale di un firewall è quello di
bloccare il traffico di rete che non segue le regole
strutturali per l'accesso all'esterno del firewall.
Il firewall permette le connessioni interne se vengono
osservate le regole impostate dal router di filtro dei
pacchetti, dal relay o dai gateway di applicazione.
Se invece un cliente Web vuole accedere ad un server Web
all'interno di un firewall la cosa diviene difficile da
impostare perchè il firewall non conosce né l'identità
della persona che cerca di ottenere l'accesso, né quali
siano i servizi che è autorizzato ad utilizzare.
Le uniche cose che vede sono gli indirizzi di rete e le
porte.
Nella maggior parte dei servizi usufruibili, come per
esempio un TELNET od un FTP, gli utenti devono
autenticarsi al firewall per stabilire la propria
identità.
In questa ottica l'amministratore di sistema (del
firewall) deve registrare tutti gli utenti, per esempio
creando una voce nel file delle password sulla macchina
del firewall, prima che un utente abbia il permesso di
accedere ai servizi di sistema sulle macchine interne.
In sintesi gli utenti devono sapere in anticipo a quali
risorse vogliono accedere.
Nel caso in cui il server Web contenga documenti
destinati ad un vasto pubblico, non è concepibile che
si possa permettere ad un pubblico tanto vasto di
eseguire l'autenticazione sulla macchina firewall, dato
che l'elenco degli utenti comprenderebbe tutti gli
utenti che stanno utilizzando Internet per consultare il
Web.
In questo modo si andrebbe contro allo scopo principale
di un firewall che è quello di progettare l'accesso
alla rete interna.
Per questo motivo è consigliabile di collocare il
server Web all'esterno del firewall per il traffico
esterno. Un server Web configurato con una certa
attenzione può essere reso sicuro come lo stesso
firewall e, se il server Web viene collocato
all'esterno, rispetto alla rete interna, una violazione
di sicurezza rovinerebbe soltanto il server Web e non
tutte le risorse protette.
E' possibile utilizzare un firewall anche per la rete
secondaria che proteggerà il server Web a spese di un
più alto rischio di esposizione per la rete interna.
^
On
Top
Cyberguard.Firewall
Web Site
AltaVista
Firewall 98
Ascend
Cisco
PIX
Firewall
CyberGuard
Eagle NT
Elron
Firewall
Check
Point Firewall-1
Network-1 Firewall
Plus
GFX Firewall
System
GNAT Box Firewall
PC
week tutorial
Guardian's NetGuardian
Milkyway
SecurIT
Secure
Computing Firewall
SmartWall
Sonic
Firewall
Kane
Security Analyst
Microsoft
Proxy Server
MultiTech
Ethernet ProxyServer
NetRoad
FireWALL 2.1
Session
Wall-3
SonicWall
Review
Firewall
Checklists
^
On
Top
Ricerca
su ASTALAVISTA
|
ICQ: