|
| |||
|
| |
|
|
| Sistemi di protezione - Firewall |  |
|
INTRODUZIONE
Ma chi ci garantisce che un firewall faccia il suo dovere e ci protegga
dalla rete?
|
|
|
|
||
| A | Gestione e controllo dell'attività in Internet degli utenti Interni | |
| B | Velocizzazione della Connessione | |
| C | Gestione della sicurezza dei server Internet locali | |
| D | Separazione della gestione della sicurezza tra zona riservata ai servizi Internet e zona per gli utenti locali | |
| E | Connessione con reti remote o con utenti mobili in VPN (Virtual Private Network) | |
| F | Maggiore importanza nelle connessioni VPN | |
| G | Gestione della priorità dei servizi Internet | |
|
|
|
|
| 1 | Rete connessa a Internet con un router ISDN o ADSL | A,B |
| 2 | Rete connessa a Internet con un router ISDN o ADSL e Indirizzo IP statico | A,B,C,E |
| 3 | Rete connessa a Internet con linea dedicata e più indirizzi IP | A,B,C,D,E |
| 4 | Rete connessa a Internet con linea dedicata e più indirizzi IP con molti servizi offerti verso Internet | A,B,C,D,E,G,F |
| 5 | Rete connessa a Internet con un router ISDN o ADSL e Indirizzo IP statico e varie sedi remote o agenti sparsi per il territorio | A,B,C,D,E,F |
| 6 | Scuole o Istituti pubblici | A,B |
|
A. Gestione e controllo dell'attività in Internet degli utenti Interni Come usano Internet i vostri dipendenti? Quanto tempo dedicano a Internet? Spesso si calcola il costo aziendale di Internet solo in base alle bollette Telecom, al costo degli apparecchi (router, modem, ...) e del software usato per collegarsi a Internet. In realtà un costo nascosto ma spesso predominante è determinato dal tempo perso in modo non produttivo dai 'navigatori di Internet'. Anche se la vostra fiducia e massima e senza voler controllare utente per utente l'uso di Internet (sicuramente contrario alla privacy) i SonicWALL permettono di evitare che l'utente frequenti siti appartenenti a determinate categorie (sesso più o meno esplicito, violenza, razzismo, e molte altre), o altri siti elencati, oppure permettono l'accesso solo a siti appartenenti ad una specifica lista. Il tutto avvertendo l'utente del "filtro" attivo, quindi rispettando la sua privacy e prevenendo, invece di reprimere, i comportamenti scorretti. In servizi accessibili al pubblico e nelle scuole questa azione di controllo è assolutamente indispensabile. B. Velocizzazione della Connessione Maggiore velocità è il sogno di tutti. Un modo realistico di ottenerla e quello di utilizzare una cache comune a tutti gli utenti in rete. Questo fa si che ogni volta che siano richiesi gli stessi dati la risposta sia locale e non data dai tempi di Internet. I dispositivi che realizzano questa funzione si chiamano "Proxy Cache Server" e svolgono la funzione di client web verso Internet e server web verso gli utenti interni. Concentrando le comunicazioni degli utenti verso Internet sono ideali per realizzare un log completo dell'attività e per gestire eventuali accesi autenticati (con nome e password) verso Internet. Maxum, con WebDoubler, ha realizzato un Proxy per Macintosh dalle prestazioni ottime. La funzione di Proxy CacheServer si sposa perfettamente con i firewall di SonicWALL in quanto permettono una configurazione tale da obbligare tutti gli utenti a utilizzare il proxy. C. Gestione della sicurezza dei server Internet locali Se avete un server per Internet (non importa quale servizio svolga: web, posta elettronica, ftp o quant'altro) avete obbligatoriamente dei computer (i server stessi) che sono accessibili da Internet. Purtroppo è estremamente semplice per un malintenzionato bloccare la funzionalità di questi computer (bloccando il servizio Internet). Sintomo classico di attacchi provenienti da Internet è il ritrovare il server bloccato apparentemente senza motivo. L'unico modo reale di difendersi da questi attacchi esterni è quello di interporre tra i propri computer e Internet un dispositivo che analizzi il traffico di passaggio, riconosca la normale evoluzione delle comunicazioni e identifichi e blocchi i tentativi di attacco dall'esterno. Questo dispositivo è un firewall con il 'packet inspection'. D. Separazione della gestione della sicurezza tra zona riservata ai servizi Internet e zona per gli utenti locali Per la natura stessa dei server Internet (che devono essere accessibili) questi sono meno sicuri degli altri computer in rete locale. Per questo motivo si tende a separare la zona fisica dei server Internet rispetto alla zona dei computer e dei server locali con un ulteriore firewall. Tale separazione fa si che l'eventualità che un server venga violato non mette in pericolo il resto della rete. Oggi si trovano vari firewall con tre porte ethernet (LAN per la rete Locale, WAN per il collegamento verso l'esterno e DMZ - DeMilitarized Zone- per il collegamento dei server) che evitano la necessità di utilizzare due firewall tradizionali (a due porte). E. Connessione con reti remote o con utenti mobili in VPN (Virtual Private Network) Se la propria azienda ha sedi o collaboratori remoti è estremamente funzionale poter garantire delle comunicazioni di rete sicure anche attraverso Internet o linee telefoniche. L'unico modo per rendere sicura una comunicazione è quella di cifrarla prima che arrivi a una rete di pubblico accesso (per esempio Internet ma anche la rete telefonica tradizionale!!!) e di decifrarla al termine della comunicazione. Un firewall che gestisca le VPN riconosce le comunicazioni dirette a una rete remota connessa in VPN e crittografa/decrittografa le stesse in modo del tutto trasparente ai computer in rete. Il risultato per l'utente è quello di poter usare la rete remota come se fosse locale e in modo sicuro. Se viene utilizzato un apposito software su un Computer remoto la trasmissione in VPN può avvenire anche tra firewall e computer (e non tra due firewall). In questo modo è possibile collegarsi alla propria rete aziendale da Internet con il proprio portatile ovunque si sia. Il tutto in modo sicuro. Netopia S9500 e SonicWALL Pro includono la gestione delle VPN. F. Maggiore importanza nelle connessioni VPN Le VPN rappresentano un carico computazionale abbastanza gravoso per il dispositivo che deve effettuare il lavoro di cifratura/decifratura specialmente se la comunicazioni che deve gestire sono molte o utilizzano una banda particolarmente elevata. Il SonicWALL Pro ha un hardware con porte 10/100 e processore molto prestazionale, inoltre prevede opzionalmente l'inserimento futuro di una scheda acceleratrice per le VPN. Una struttura ben progettata a livello di VPN prevede un SonicWALL Pro a livello di sede centrale, SonicWALL DMZ o SOHO per le sedi periferiche e il software VPN per gli utenti dei PC portatili connessi a Internet. G. Gestione della priorità dei servizi Internet Nel momento in cui usate Internet per dare dei servizi (server web, posta elettronica, Voice over IP,....) ai vostri utenti si presenta la necessità di garantire una banda sufficiente a questi servizi. Mediamente la banda complessiva che avete a disposizione non è sufficiente a garantire la banda massima a tutti i servizi e non avete alcuno strumento per gestire questa banda. Mediante il 'Traffic Shaping ', potrete assegnare a ogni servizio un banda minima garantita e una banda massima utilizzabile. In tal modo, anche se la stessa connessione Internet è utilizzata dalla vostra rete locale e dai vostri server, sarete sicuri che lo scaricamento di un file da parte di un utente Interno non andrà a influire sui servizi forniti dai vostri server. Esempi tipici di utilizzo sono: -assegnazione di diverse bande massime a diversi server web (anche se gestiti da uno stesso PC) -assegnazione di una banda minima garantita a servizi quali Voice Over IP (comunicazioni telefoniche via Internet per il collegamento di centralini telefonici aziendali ecc...), a determinati server web, all'accesso verso Internet di utenti Interni 'privilegiati', ... Attenzione, comunque: di reti sicure non ne esistono. Se un'azienda mantiene un archivio di dati top-secret, dai quali dipende effettivamente l'esistenza dell'azienda stessa, non è di un firewall che ha bisogno, ma piuttosto di mettere questo computer in un posto sicuro, probabilmente sconnesso dalla rete. Un firewall può proteggere la rete nella maggior parte dei casi, ma se per esempio si possiede un server web, bisognerà mantenere accessibili le comunicazione dall'esterno almeno per la porta 80 e questo può essere un rischio. A questo punto bisogna porsi un'altra domanda: quali decisioni prendere, nel momento in cui si configura un firewall? La prima cosa da fare è decidere in linea generale cosa permettere e cosa non permettere agli utenti della rete esterna, variabile strettamente legata alla sensibilità e alla scrupolosità dell'amministratore di sistema. Comunque sia, avere una precisa strategia da seguire è sicuramente più importante delle decisioni prese al livello "tecnico". Bisogna stabilire quindi cosa si vuole effettivamente monitorare e controllare, o addirittura loggare, senza correre il rischio di avere poi Terabyte di informazioni inutili. Dopo questa brevissima e forzatamente incompleta panoramica, una cosa dovrebbe essere chiara: quando si parla di firewall, prima occorre parlare di strategie e di "principi di base" da pianificare, poi si passa alla tecnica. Qui si è voluta vedere la loro logica di funzionamento e non si è perciò scesi nei particolari dei singoli firewall. Ognuno di questi, poi, presenta caratteristiche proprie che non si trovano in altri, nemmeno in maniera similare. Impossibile quindi compiere una trattazione generale più approfondita. L'unica raccomandazione che si può fare è documentarsi sulla base delle informazioni tecniche fornite dai produttori e non limitarsi ai primi due o tre depliant. Contro che cosa può proteggere un firewall? Qualche firewall permette solo il passaggio di email, proteggendo quindi la rete da attacchi diversi da quelli mirati al servizio di email. Altri firewall provvedono a una meno stretta protezione e bloccano servizi che tradizionalmente hanno problemi di sicurezza. Di solito, i firewall sono configurati per proteggere contro i login non autenticati dall'esterno. Questo aiuta a prevenire il login di vandali in macchine della rete. Firewall più complicati bloccano il traffico dall'esterno all'interno, ma permettono agli utenti interni di comunicare liberamente con l'esterno. Il firewall ti può proteggere contro qualsiasi tipo di attacco mediato dalla rete come se fossi disconnesso. I firewall sono anche importanti perchè possono provvedere a un singolo punto di blocco dove la sicurezza e il controllo possono essere imposte. Diversamente, in una situazione in cui un sistema è attaccato da qualcuno che usa un modem, il firewall può agire come un rubinetto telefonico e uno strumento di monitoraggio. Contro che cosa non può proteggere un firewall? I firewall non possono proteggere da attacchi che non vi passano attraverso. Molte aziende connesse ad Internet sono preoccupate dalla fuoriuscita di dati riservati attraverso qualche via. Sfortunatamente per questi preoccupati, un nastro magnetico può essere usato per trasportare dati all'esterno. Le politiche dei firewall devono essere realistiche e riflettere il livello di sicurezza dell'intera rete. Se un sistema contiene dati riservati sarebbe meglio non connetterlo al resto della rete. I firewall non possono proteggere bene da cose come i virus. Un firewall non può rimpiazzare la coscienza, la consapevolezza e la prudenza dei suoi utenti. In generale, un firewall non può proteggere contro un attacco guidato di dati, attacchi nei quali qualcosa è postato o copiato all'interno dell'host dove è eseguito. Questa forma di attacco è avvenuta nel passato contro varie versioni di Sendmail. Come scegliere un firewall Allo sfortunato a cui è affidato il compito toccheranno tante letture. In generale occorre rispettare il modo in cui l'azienda vuole operare sul sistema: il firewall esiste per negare esplicitamente tutti i servizi eccetto quelli critici per cui ci si è connessi alla rete oppure serve per verificare e controllare i metodi di accesso in modo non minaccioso. Ci sono diversi gradi di paranoia tra queste posizioni. La configurazione del tuo firewall sarà effetto più delle tue politiche che delle decisioni tecniche. Inoltre, quanto monitorare e controllare? Occorre quindi decidere che cosa monitorare, permettere e negare. Devi coniugare obiettivi e analisi del rischio. Infine c'è la questione finanziaria: quanto costa comprare e implementare il sistema. Si va da alcune centinaia di milioni di lire a soluzioni gratuite. Per ciò che riguarda le soluzioni gratuite, configurare un Cisco o simili non costerà niente, ma solo tempo-uomo e caffè. Implementare un firewall impegnativo costerà molti mesi-uomo. Bisogna quindi considerare non solo il costo di acquisto ma anche di supporto nel tempo. Dal lato tecnico, c'è un paio di decisioni da prendere, basate sul fatto che per tutti i fini pratici di cui stiamo parlando occorrerebbe un servizio di routing (instradamento) statico del traffico messo tra il provider della rete e la rete interna. Il servizio di routing del traffico deve essere implementato a livello di IP attraverso regole di protezione in un router, o a livello di applicazione attraverso un proxy che faccia da gateway e dei servizi. La decisione da prendere qui è se mettere una macchina che può essere colpita all'esterno della rete per far girare un proxy per i servizi di telnet, ftp, news, etc., o se è meglio settare un router difensivo che faccia da filtro, permettendo comunicazioni con una o più acchine interne. Ci sono i pro e i contro a entrambi gli approcci, con la macchina proxy si provvede a un più alto livello di controllo e potenzialmente di sicurezza contro più alti costi di configurazione e una diminuzione nel livello di servizi erogati (poichè occorre sviluppare un proxy per ogni servizio desiderato). La forbice tra facilità d'uso e sicurezza ci perseguita. Glossario di termini riferiti ai firewall - Firewall basato su un host: un firewall dove la sicurezza è implementata in un software che gira in un computer non dedicato di qualunque tipo. La sicurezza nei firewall basati su un host è generalmente al livello di applicazione piuttosto che al livello della rete. - Firewall basato su un router: un router che è usato per implementare parte della sicurezza di un firewall configurandolo per permettere selettivamente o per negare il traffico a livello della rete. - Bastion host (host che si affaccia all'esterno): un sistema host che è un punto forte nel perimetro della sicurezza del sistema. I bastion host dovrebbero essere configurati per essere particolarmente resistenti agli attacchi. In un firewall basato su host, il bastion host è la piattaforma nella quale il software firewall gira. I bastion host sono anche chiamati gateway host. - Dual-Homed Gateway: un firewall di un bastion host con 2 interfaccie di rete, una delle quali è connessa per proteggere la rete, l'altra è connessa a Internet. L'inoltro del traffico IP è di solito disabilitato, limitando tutto il traffico tra le due reti a qualunque cosa passi attraverso qualche tipo di applicazione proxy. - Applicazione proxy: una applicazione che instrada il traffico delle applicazioni attraverso un firewall. I proxy tendono a essere specifici per il protocollo per cui sono progettati per inoltrare, e possono provvedere un aumentato controllo di accesso o verifica. - Subnet monitorata: una architettura firewall nel quale una rete "sand box" o "zona smilitarizzata" è configurata tra la rete protetta e Internet, con traffico bloccato tra la rete protetta e Internet. Concettualmente, è simile a un dual-homed gateway, eccetto che una intera rete, piuttosto che un singolo host è raggiungibile dall'esterno. |
Yotta Tecnologie S.r.l. |
