Componenti e servizi per la sicurezza informatica sulle reti

Componenti e servizi per la sicurezza informatica sulle reti

Nell’affrontare la complessa tematica della sicurezza informatica sulle reti, conviene distinguere fra le componenti che possono essere utilizzate (cifratori, screening router ed application gateway, etc.) e i servizi che esse offrono (packet-filtering, packet-inspection, proxy, ecc.), e gli schemi architetturali nell’ambito dei quali possono essere impiegate (bastion host, firewall). Accenneremo, infine, anche ai protocolli sicuri sul Web, una tematica di grande interesse ed in veloce evoluzione.

Componenti e servizi per la sicurezza

Cifratori del traffico

I cifratori sono dispositivi hardware che operano a basso livello, in modo trasparente rispetto allo strato applicativo, cifrando indiscriminatamente tutto il traffico. Sono generalmente impiegati a coppie fra router che collegano due reti locali attraverso un collegamento geografico. In tal caso, i cifratori incapsulano il traffico IP (IP-tunneling) in modo da cifrare non solo il payload ma anche lo header dei pacchetti originali.

Nell’ambito di una LAN, infine, client e server possono essere dotati si schede di rete cifranti che, opportunamente configurate, consentono la autenticazione reciproca e la cifratura del traffico in modo trasparente rispetto allo strato applicativo.

Screening router

Gli screening router sono dispositivi in grado di bloccare o instradare i pacchetti in transito fra la rete interna e quella esterna, sulla base della loro intestazione (packet- filtering) o del loro contenuto (packet-inspection). Si tratta in ogni caso di dispositivi operano a basso livello (rete e trasporto) e quindi in modo trasparente rispetto allo strato applicativo.

Gli screening router sono chiaramente soggetti ad attacchi tesi a riconfigurare l’insieme delle regole di filtraggio dei pacchetti. Per questo motivo, le loro eventuali funzioni di configurazione remota devono essere disabilitate.

I router in generale, inoltre, sono sensibili ad attacchi tesi a modificare le tabelle interne di routing ed aggirare in tal modo eventuali firewall posti a difesa della rete interna. Questo tipo di attacchi possono ad esempio essere condotti attraverso falsi pacchetti ICMP. Per questo motivo, gli screening router vanno configurati in modo da disabilitare le funzioni di dynamic-routing.

I servizi offerti dagli screening router sono generalmente di due tipi:

  1. packet-filtering;
  2. packet-inspection.

Packet filtering router

Gli screening router basati sul packet-filtering valutano i pacchetti sulla base della loro intestazione (header). Si tratta di dispositivi configurabili con una lista ordinata di regole che permettono o negano il passaggio di un pacchetto sulla base delle informazioni contenute nell’header, quali:

  • indirizzo IP e porta sorgente,
  • indirizzo IP e porta destinazione,
  • TCP flag,
  • IP options.

Molti produttori di router applicano le regole di filtraggio solo sui pacchetti in uscita dal router, e non su quelli in ingresso. In questo modo, tuttavia, pacchetti artificiosamente generati aventi come indirizzo sorgente quello di un host della rete interna (attacco di tipo address-spoofing) sarebbero instradati dal router sulla rete interna come se fossero effettivamente provenienti dall’host oggetto dello spoofing. Verificando i  pacchetti  anche in ingresso, il router può facilmente rilevare che un pacchetto con  indirizzo sorgente uguale a quello di un host interno non può provenire dalla rete esterna, e deve quindi essere bloccato.

L’esame dei pacchetti in ingresso e in uscita consente di effettuare le seguenti azioni:

  • sui pacchetti che giungono al router dalla rete esterna:
    • l’indirizzo IP sorgente permette di definire regole che accettino o scartino pacchetti provenienti da un host o da una sottorete di host esterni;
    • l’indirizzo IP destinazione permette di definire regole che accettino o scartino pacchetti destinati ad un host o ad una sottorete di host interni;
  • sui pacchetti che giungono al router dalla rete interna:
    • l’indirizzo IP sorgente permette di definire regole che accettino o scartino pacchetti provenienti da un host o da una sottorete di host interni;
    • l’indirizzo IP destinazione permette di definire regole che accettino o scartino pacchetti destinati ad un host o ad una sottorete di host esterni;
  • su tutti i pacchetti:
    • la porta sorgente e quella di destinazione permettono di definire regole che accettino o scartino pacchetti relativi a servizi e protocolli che operano su porte con numeri noti o compresi in intervalli noti, quali telnet, FTP e X-Windows;
    • il TCP flag permette di definire regole che accettino o scartino pacchetti specifici, come quelli di inizio (SYN) o conferma (ACK) di una connessione.

Un problema specifico dei  packet-filtering router risiede nella difficoltà di individuare un insieme di regole corretto e completo rispetto alle esigenze della  sicurezza. Individuare eventuali errori nella configurazione di un packet-filtering router può essere inoltre assai difficile per la mancanza di strumenti automatici di verifica, e per la incompletezza dei log generati.

Packet inspection router

Gli screening router basati sul packet-inspection valutano i pacchetti sulla base del loro contenuto (payload). Si tratta di dispositivi in grado di comprendere un insieme predefinito (ed a volte configurabile) di protocolli che viaggiano incapsulati nel protocollo IP, e in taluni casi controllare lo stato delle relative sessioni (stateful inspection).

A fronte della loro complessità, i packet-inspection router offrono una notevole flessibilità nella definizione delle regole di filtraggio (smart-rules) che,  operando  a livello di sessione (session filtering), sono spesso paragonabili a quelle offerte dagli application gateway.

Rispetto agli application gateway, però, i packet-inspection router non hanno funzionalità proxy, cioè non ricostruiscono i pacchetti ma si limitano a lasciar transitare quelli che superano le regole di filtraggio.

Application gateway

Gli application gateway sono i dispositivi che offrono, limitatamente ai protocolli supportati, attualmente il maggior grado di controllo del traffico fra una rete interna e la rete Internet.

Sono generalmente realizzati tramite un calcolatore opportunamente configurato con software specifico in grado di erogare, accanto ai servizi di packet-filtering e packet- inspection (già visti negli screening router), anche i cosiddetti servizi di application proxy.

Un application proxy é un processo che, eseguito sul gateway, si interpone a livello di applicazione nella comunicazione fra componenti di una specifica applicazione per la quale é stato progettato.

Esempi di application proxy commercialmente disponibili sono quelli per il controllo del traffico telnet, FTP ed HTTP. Nel caso di applicazioni client-server, ad esempio, un application proxy comunica con il client simulando di essere il server, e viceversa, comunica con il server simulando di essere il client.

In nessun caso i pacchetti viaggiano direttamente fra client e server. Il flusso dei pacchetti provenienti da ciascuna delle parti viene:

  • intercettato dal proxy;
  • interpretato a livello applicativo;
  • ricostruito sulla base della conoscenza del protocollo;
  • instradato verso la parte opposta.

Rispetto ai packet-inspection router, gli application gateway (o meglio gli application proxy in esecuzione su di essi), presentano vantaggi e svantaggi che vanno adeguatamente considerati:

  • ricostruendo il traffico, un application gateway minimizza le probabilità di successo di attacchi basati su debolezze di un server rispetto a particolari sequenze di messaggi non previste dal protocollo;
  • la ricostruzione dei pacchetti in uscita richiede un tempo di processamento che rende un application gateway solitamente più lento di un packet-inspection router;
  • operando a livello di applicazione, un application gateway è in grado di controllare un numero generalmente più ridotto di protocolli, e richiede la installazione e la configurazione di un nuovo proxy per ciascun nuovo protocollo da gestire.

Pubblicato da Vito Lavecchia

Lavecchia Vito Ingegnere Informatico (Politecnico di Bari) Email: [email protected] Sito Web: https://vitolavecchia.altervista.org

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *