Architetture specifiche

Esistono architetture ultra-dedicate al firewalling come il WatchGuard Firebox o i Cisco della serie PIX -vedi figura 4.8-. In questi casi

Figura 4.8: Firewall PIX Cisco

l'hardware è quasi completamente realizzato ``su misura'' per cui la comprensione del contenuto di queste scatole preziosissime -nell'ordine di diverse decine di milioni- è concesso esclusivamente a pochi. Il PIX è un prodotto che si pone ai vertici della categoria per sicurezza, scalbilità e soluzioni implementabili. Esso richiede una configurazione di base che può essere eseguita da console e un affinamento ulteriore tramite tool grafici (PIX firewall manager). Anche senza una configurazione precisa il PIX ricava informazioni dal traffico dati e pubblicizza se stesso come gateway predefinito su tutte le reti su cui si attesta iniziando a ruotare pacchetti con la massima sicurezza in base alla provenienza. Il cablaggio deve essere eseguito ina base ai criteri descritti più avanti. Ovviamente il firewall pubblicizza solo se stesso e non trasmette altri dati circa le sue reti. PIX può montare al massimo quattro interfaccie di rete, siano esse token ring o lan 100Mb/s, oppure può utilizzare le interfaccie per reti private virtuali -Private Link Card-. Il minimo numero di interfaccie è due per garantire la separazione tra rete sicura e rete insicura. Le ulteriori due interfaccie vengono definite dal firewall come ``reti perimetrali'' a sicurezza diversa l'una dall'altra. Il livello di sicurezza accordato ad ogni rete è uno dei parametri decisionali per lo smistamento dei pacchetti. Un pacchetto proveniente da una rete non può transitare verso una rete a sicurezza più elevata senza una specifica richiesta precedente inoltrata dall'interno della rete di destinazione o una specifica regola impostata dall'amministratore -vedi figura 4.9-.

Figura 4.9: Politca di sicurezza sulle interfacce del PIX

I pacchetti entranti vengono prima di tutto esaminati tramite l'algoritmo ASA discusso più avanti. Se sopravvive all'esame il pacchetto viene confrontato con le connessioni precedenti per capire se si tratta di una nuova connessione o meno. In quest'ultimo caso il firewall crea uno slot di traslazione in cui salva ip sorgente e destinazione, indirizzo di NAT e altri parametri. A questo punto viene eseguito il NAT -ove richiesto- e il pacchetto lascia il firewall. I pacchetti di ritorno devono sottostare alle regole preimpostate dopodiché vengono confrontati con gli slot attivi per accettare solo quanto richiesto. In figura 4.10 vediamo una tipica applicazione firewall.

Non mancano soluzioni per aumentare la banda gestibile tramite l'accoppiamento di più firewall e la presenza di un'opzione failover: tramite tale funzionalità, duplicando tutti gli apparati, è possibile gestire la partenza a caldo di un firewall di riserva qualora il suo corrispettivo vada in avaria -il tutto il un massimo di quarantacinque secondi-. La situazione di avaria, anche senza la presenza di un ``gemello'' pronto ad intervenire, è gestita in modo da mantenere il massimo livello di sicurezza. Tutti gli accessi vengono bloccati e tutte le sessioni telnet vengono reimpostate durante la fase di reboot automatica del router.

Figura 4.10: Esempio di rete dotata di firewall PIX

Ecco le caratteristiche più comuni per la serie PIX:

• Utilizzi di access list centralizzate (AAA). Si veda quanto detto a pagina per il Context-Based Access Control.
• Algoritmo ASA. Garantisce la sicurezza costante di tutte le sessioni TCP/IP per proteggere le risorse private e critiche. Esso stabilisce che nessun pacchetto possa attraversare il firewall senza una connessione in corso ed uno stato assegnato. Tutte le connessioni uscenti -dove per ``uscenti'' si intendono le connessioni da interfaccie ad alta sicurezza verso interfaccie a sicurezza minore- sono autorizzate tranne quelle specificatamente negate dalla configurazione. Tutte le connessioni entranti invece sono negate a meno di istruzioni contrarie nella configurazione. Tutti i pacchetti che violano queste regole sono distrutti. I pacchetti ICMP sono distrutti anch'essi a meno di non autorizzarli espressamente. In realtà è bene autorizzare alcuni tipi di pacchetto ICMP.
• Proxy cut-through. Fornisce prestazioni di autenticazione al livello più elevato che oggi sia possibile raggiungere. Come nei proxy la sicurezza dei dati viene gestita su tutti i sette livelli ISO/OSI senza aggravi in termini di velocità e permette di autenticare il singolo utente sulle connessioni che effettua.
• Sistema incorporato sicuro e in tempo reale. Consente una maggiore sicurezza rispetto ai sistemi operativi aperti di tipo standard, come UNIX e NT Workstation.
• Schede di interfaccia di rete multiple. Massima sicurezza per il server Web e per tutti gli altri server ad accesso pubblico -da attestare su una DMZ-; collegamenti extranet multipli con partner diversi; server di registrazione e filtraggio URL protetti ed altro ancora.
• Prevenzione degli attacchi contro il servizio negato. Difende il firewall nonché i server e i client ad esso collegati da eventuali intrusioni dall'esterno; protegge inoltre tutte le operazioni e i servizi dagli attacchi contro il servizio negato. Gli attacchi di tipo SYN-flood vengono bloccati monitorando tutte le richieste di connessione verso gli host protetti. Il router verifica l'esistenza e la consistenza del richiedente in prima persona dopodiché avvia una richiesta verso l'host protetto riallacciando la connessione. Inoltre è possibile specificare il massimo numero di connessioni gestibili dagli host per cui il meccanismo di sicurezza entra in gioco anche in caso di impennate improvvise nelle richieste e permette di evitare gli attacchi di tipo ``denial of service''.
• Supporto fino a 256.000 connessioni contemporanee con 128Mb di ram e licenza software opportuna. Risultati nettamente superiori a quelli dei server proxy; è possibile utilizzare un numero inferiore di firewall a parità di banda gestibile.
• Filtraggio URL. Consente di controllare quali sono i siti Web frequentati dagli utenti, nonché di generare un rapporto di attività a fini contabili. In realtà questa funzione rallenta le prestazioni del PIX per cui, ove essa sia necessaria, è d'obbligo una configurazione dotata di un numero adeguato di firewall.
• Filtri per applet Java. Consente al firewall di bloccare le applicazioni Java potenzialmente pericolose operando a livello di singolo client o singolo indirizzo IP.
• Mail Guard. Elimina la necessità di un'applicazione di relay di posta esterna sul perimetro di rete, eliminando così gli attacchi contro il servizio negato su relay di posta esterna.
• Supporto per applicazioni multimediali.
• Traduzione NAT (Network Address Translation).
• PIX Private Link Card. La scheda di cifratura Cisco PIX Private Link consente di ottenere maggiori ritorni sugli investimenti effettuati per i collegamenti Internet, poiché trasforma la rete mondiale in una rete privata virtuale (VPN, figura 4.7) di lunga portata, solida e ben innervata. Mentre Cisco PIX Firewall protegge i dati e i sistemi LAN dalle intrusioni via Internet, le schede di cifratura Cisco PIX Private Link trasformano Internet in un canale sicuro per le comunicazioni private, collegando più PIX Firewall in una VPN. PIX utilizza la cifratura dei dati su base DES e tecnologie di base standard, grazie all'integrazione dei protocolli IETF Authentication Header/Encapsulating Security Payload (AH/ESP) (RFCS 1826 e1827, rispettivamente). La gestione principale è fornita mediante un massimo di sette chiavi precondivise, che possono essere modificate in momenti prestabiliti.

Hosted by www.Geocities.ws