Premesso che questo articolo non vuole essere un trattato tecnico riguardante la sicurezza informatica, piuttosto ha la modesta pretesa di fornire alcune considerazioni concettuali circa uno dei piu' famosi sistemi di sicurezza informatica, orientato all'ormai diffusissimo Internet. I neofiti in questo campo, e desiderosi di acquisire maggiori informazioni sull' ormai famoso firewall, apprezzeranno sicuramente questa escursione cognitiva in un campo divenuto ormai di vitale importanza per la salvaguardia dei propri dati informatici.
Il termine firewall, che letteralmente vuol dire “muro tagliafuoco”, indica genericamente un insieme di componenti hardware e software avente lo scopo di consentire il collegamento tra una rete ritenuta fidata e una considerata non sicura. Un firewall in definitiva è uno dei tanti modi per proteggere una rete da altre reti di cui non ci si fida o comunque sconosciute.
Il reale meccanismo con cui è realizzato varia fortemente, ma il principio è che il firewall puo' essere pensato come una coppia di meccanismi: uno serve a bloccare il traffico e l'altro per veicolarlo. Molti enti e centri elaborazione dati hanno politiche di sicurezza informatica e procedure che vengono rispettate rigidamente. Il firewall diventa a volte espressione della politica aziendale in materia di sicurezza della confidenzialita' e privacy dei dati. Spesso, la parte più ardua nella decisione di connettere la propria azienda ad Internet, specialmente se si tratta di una grande azienda, non è tanto giustificare la spesa o lo sforzo, ma convincere i manager che non ci sono pericoli di sicurezza. Un firewall provvede non solo alla reale sicurezza, ma gioca anche un importante ruolo come schermo di sicurezza per il management.
Infine, un firewall può agire come ambasciatore dell'azienda su Internet. Molte aziende usano i loro firewall come luogo ove riporre informazioni
pubbliche sui prodotti e i servizi dell'azienda, file da scaricare, correzioni e così via. Molti di questi sistemi stanno avendo importanza per le strutture di servizi per Internet ed hanno avuto un buon riflesso sui loro finanziatori aziendali. Qualche firewall permette solo il passaggio di email, proteggendo quindi la rete da attacchi diversi da quelli mirati al servizio di email. Altri firewall provvedono a una protezione meno rigida e bloccano servizi che tradizionalmente hanno problemi di sicurezza. Di solito, i firewall sono configurati per proteggere contro i login, non autenticati, effettuati dall'esterno della rete che si sta proteggendo. Firewall più complicati bloccano il traffico dall'esterno verso l'interno, ma permettono agli utenti interni di comunicare liberamente con l'esterno. E comunque, in una situazione in cui un sistema è attaccato da qualcuno che usa un modem, il firewall può agire sia come un rubinetto telefonico che come strumento di monitoraggio.
Le politiche dei firewall devono essere realistiche e riflettere il livello di sicurezza dell' intera rete. Se un sistema contiene dati riservati sarebbe meglio non connetterlo al resto della rete. I firewall non possono proteggere da virus. Un firewall non può rimpiazzare la coscienza, la consapevolezza e la prudenza dei suoi utenti. In generale, un firewall non può proteggere contro un attacco perpetrato all' interno stesso della rete protetta; mi riferisco ad attacchi nei quali qualcosa è “postato” o copiato all'interno dell'host dove è eseguito.
Come scegliere allora un firewall che possa soddisfare le proprie esigenze?
In generale occorre rispettare il modo in cui l'azienda vuole operare sul sistema: il firewall esiste per negare esplicitamente tutti i servizi
eccetto quelli critici per cui ci si è connessi alla rete, oppure serve per verificare e controllare i metodi di accesso in modo non minaccioso. La configurazione del firewall sarà effetto più delle proprie politiche che delle decisioni tecniche.
Inoltre, quanto monitorare e controllare? Occorre soprattutto decidere che cosa monitorare, permettere e negare. E' necessario coniugare obiettivi e analisi del rischio.
Infine c'è la questione finanziaria: quanto costa acquistare e implementare il sistema? Si va da 100.000 Euro a soluzioni gratuite. Per ciò che riguarda le soluzioni gratuite, configurare un Cisco o simili non costerà niente, ma solo tempo-uomo e caffè. Implementare un firewall impegnativo costerà molti mesi-uomo. Bisogna quindi considerare non solo il costo di acquisto ma anche di supporto nel tempo.
Dal lato tecnico, e' necessario prendere alcune decisioni basate sul fatto che per tutti i fini pratici di cui stiamo parlando, occorrerebbe un servizio di routing (instradamento) statico del traffico messo tra il provider della rete e la rete interna. Il servizio di routing del traffico deve essere
implementato a livello di IP attraverso regole di protezione in un router, o, a livello di applicazione, attraverso un proxy che faccia da gateway.
La decisione da prendere è se mettere una macchina che può essere colpita all'esterno della rete per far girare un proxy per i servizi di
telnet, ftp, news, etc., o se è meglio settare un router difensivo che faccia da filtro, permettendo comunicazioni con una o più macchine interne.
Ci sono i pro e i contro per entrambi gli approcci: con la macchina proxy si provvede a un più alto livello di controllo e potenzialmente di
sicurezza, contro più alti costi di configurazione e una diminuzione nel livello di servizi erogati (poichè occorre sviluppare un proxy per ogni
servizio desiderato). La forbice tra facilità d'uso e sicurezza ci perseguita.
Un proxy server è una applicazione che si occupa del traffico tra una rete protetta e Internet. I proxy sono spesso usati in sostituzione di router
per il controllo del traffico, per non consentire al traffico di passare direttamente tra le reti. Molti proxy hanno log supplementari o supportano
l'autenticazione dell'utente. Poichè i proxy devono capire quale protocollo sta per essere usato, possono anche implementare specifici protocolli di sicurezza (ad es., un proxy FTP potrebbe essere configurato per permettere l'FTP in entrata e bloccare l'FTP in uscita). I proxy server sono applicazioni specifiche. Per supportare un nuovo protocollo attraverso un proxy, questo deve essere sviluppato per quel protocollo.
SOCKS ad esempio è un sistema proxy generico che può essere compilato in una applicazione sul lato client per farlo lavorare attraverso un firewall. Il vantaggio è che è facile da usare, ma non supporta l'aggiunta di connessioni con autenticazione o protocolli con logging specifico.
Altra domanda che ci si puo' porre e' come far lavorare DNS e firewall. Alcune organizzazioni vogliono nascondere i nomi DNS dalla visione esterna. Molti esperti sono in disaccordo sul fatto che sia piu' o meno utile, ma se il sito o l'azienda decide di nascondere i nomi dei domini, questo è un approccio funzionale per le organizzazioni che vogliono celare i loro nomi di host a Internet. Il successo di questo approccio nasce dal fatto che i client DNS in una macchina, non comunicano con un server DNS nella stessa macchina.
In altre parole, proprio perchè c'è un server DNS su un sistema, non c'è nulla di sbagliato (e spesso ci sono vantaggi a farlo) nel ridirezionare l'attività di client DNS di quel sistema su un server DNS in un altro sistema. Si noti che nascondere i nomi dei DNS non risolve il problema dei nomi di host fuoriusciti con gli headers delle mail, articoli di news, etc.
Come far lavorare un FTP attraverso un firewall?
Di solito, utilizzare l'FTP attraverso il firewall è realizzato attraverso un server proxy; cio' avviene consentendo connessioni in entrata in una rete su un ristretto range di porte o restringendo le connessioni in entrata usando regole di monitoraggio stabilite. Il client FTP è allora modificato per congiungere la porta dei dati alla porta all'interno del range. Questo implica abilita' nel modificare l'applicazione che fa da client FTP sugli host interni. Un approccio differente è usare l'opzione "PASV" dell'FTP per indicare che il server FTP remoto dovrebbe consentire al client di iniziare la connessione. L'approccio con PASV assume che il server FTP sul sistema remoto supporti tale operazione. Altri siti preferiscono costruire versioni di client del programma di FTP che sono linkate alla libreria SOCKS.
Come utilizzare Telnet con un firewall?
Telnet è generalmente utilizzato per applicazioni proxy, o semplicemente per configurare un router che consenta connessioni in uscita usando regole di monitoraggio prestabilite.
Le applicazioni proxy potrebbero essere un proxy standalone che gira su un bastion host, o un server SOCKS.
Diamo infine uno sguardo a X-Window.
X Window è un sistema davvero utile, ma sfortunatamente ha qualche problema di sicurezza. I sistemi remoti che possono ottenere
l'accesso a una workstation con XWindow possono monitorare la pressione dei tasti degli utenti, l'uso del mouse e scaricare copie dei contenuti delle loro finestre.
Glossario di termini riferiti ai firewall
· Firewall basato su un host : Un firewall dove la sicurezza è implementata
in un software che gira in un computer non dedicato di qualunque tipo. La
sicurezza nei firewall basati su un host è generalmente al livello di
applicazione piuttosto che al livello della rete.
· Firewall basato su un router : un router che è usato per implementare
parte della sicurezza di un firewall configurandolo per permettere
selettivamente o per negare il traffico a livello della rete.
· Bastion host (host che si affaccia all'esterno) : un sistema host è
un punto forte nel perimetro della sicurezza del sistema. I bastion host
dovrebbero essere configurati per essere particolarmente resistenti agli
attacchi. In un firewall basato su host, il bastion host è la piattaforma
nella quale il software firewall gira. I bastion host sono anche chiamati
gateway host.
· Dual-Homed Gateway : un firewall di un bastion host con 2 interfacce di
rete, una delle quali è connessa per proteggere la rete, l'altra è connessa
a Internet. L'inoltro del traffico IP è di solito disabilitato, limitando
tutto il traffico tra le due reti a qualunque cosa passi attraverso qualche
tipo di applicazione proxy.
· Applicazione proxy : una applicazione che instrada il traffico delle
applicazioni attraverso un firewall. I proxy tendono a essere specifici per
il protocollo per cui sono progettati per inoltrare, e possono provvedere un
aumentato controllo di accesso o verifica.
· Subnet monitorata : una architettura firewall nel quale una rete "sand box"
o "zona smilitarizzata" è configurata tra la rete protetta e Internet,
con traffico bloccato tra la rete protetta e Internet.
Concettualmente, è simile a un dual-homed gateway, eccetto che una intera rete, piuttosto che un singolo host, è raggiungibile dall'esterno.
|
