Elementi di progettazione di un internet firewall
Autore
Mario Gabrielli - Università degli Studi di Camerino - [2003-04]
Documenti
Abstract
Quando un PC è connesso ad internet esso diventa, a tutti gli effetti, un nodo della rete. Il sistema connesso, può esporre dei servizi di rete, cioè delle applicazioni che hanno delle funzionalità specifiche e che rimangono in ascolto su una determinata porta (ad es. un server ftp o telnet o anche il classico servizio di condivisione dei file e delle stampanti di Windows).
In alcuni casi può capitare che questi servizi nascondano al loro interno delle vulnerabilità o, comunque, rendano manifesti dei difetti di configurazione tali da poter essere sfruttati per guadagnare l’accesso non autorizzato ad un sistema.
In genere prima di tentare una qualsiasi forma di intrusione un aggressore fa uso di software specifico per effettuare la scansione del target alla ricerca di eventuali porte in ascolto. Una volta individuate queste porte è molto facile risalire al tipo di applicazione in esecuzione e, da qui, al genere di problemi di sicurezza che affliggono l'applicazione stessa. Di conseguenza, diventa possibile sfruttare un exploit (una tecnica di attacco particolare che si basa sulla presenza di vulnerabilità note) in modo da ottenere l'accesso al sistema.
L’uso di un firewall, in combinazione con altri strumenti come l’IDS, può effettivamente garantire un livello di protezione discreto non soltanto contro i tentativi di sfruttare vulnerabilità più o meno note di un servizio, ma anche e soprattutto contro l’attività di scansione delle porte che normalmente costituisce sempre il preludio di un attacco.
Lo scopo di questo progetto e quello di realizzare un sistema firewall/IDS in grado di garantire un’adeguata protezione, alle due reti LAN presenti dietro il firewall.
La tesi realizzata in base a tale progetto, è divisa in quattro parti che riguardano, la corretta configurazione ed implementazione di diversi firewall open-source, l’installazione e la configurazione di un’IDS postro dietro al firewall in grado di rilevare eventuali attacchi che sono riusciti a oltrepassarlo, il traffic-shaping utilizzato per limitare la banda assegnata, in modo tale che il taffico, in ingresso e in uscita dalle LAN, non vada a saturare la banda disponibile; e infine dei test realizzati per provare l’effettiva sicurezza del sistema creato.
In alcuni casi può capitare che questi servizi nascondano al loro interno delle vulnerabilità o, comunque, rendano manifesti dei difetti di configurazione tali da poter essere sfruttati per guadagnare l’accesso non autorizzato ad un sistema.
In genere prima di tentare una qualsiasi forma di intrusione un aggressore fa uso di software specifico per effettuare la scansione del target alla ricerca di eventuali porte in ascolto. Una volta individuate queste porte è molto facile risalire al tipo di applicazione in esecuzione e, da qui, al genere di problemi di sicurezza che affliggono l'applicazione stessa. Di conseguenza, diventa possibile sfruttare un exploit (una tecnica di attacco particolare che si basa sulla presenza di vulnerabilità note) in modo da ottenere l'accesso al sistema.
L’uso di un firewall, in combinazione con altri strumenti come l’IDS, può effettivamente garantire un livello di protezione discreto non soltanto contro i tentativi di sfruttare vulnerabilità più o meno note di un servizio, ma anche e soprattutto contro l’attività di scansione delle porte che normalmente costituisce sempre il preludio di un attacco.
Lo scopo di questo progetto e quello di realizzare un sistema firewall/IDS in grado di garantire un’adeguata protezione, alle due reti LAN presenti dietro il firewall.
La tesi realizzata in base a tale progetto, è divisa in quattro parti che riguardano, la corretta configurazione ed implementazione di diversi firewall open-source, l’installazione e la configurazione di un’IDS postro dietro al firewall in grado di rilevare eventuali attacchi che sono riusciti a oltrepassarlo, il traffic-shaping utilizzato per limitare la banda assegnata, in modo tale che il taffico, in ingresso e in uscita dalle LAN, non vada a saturare la banda disponibile; e infine dei test realizzati per provare l’effettiva sicurezza del sistema creato.
Questa tesi è correlata alla categoria
segnala questa pagina ::.