venerdì 17 maggio 2013

Firewall: Tutto proibito o tutto permesso ?

In una recente lezione di Reti abbiamo detto che alla frontiera di ogni organizzazione c'è un firewall che analizza tutto il traffico entrante ed uscente. Abbiamo anche detto che:

  1. I firewall moderni sono del tipo "tutto proibito"; ad ogni pacchetto sono applicate le regole specificate dall'amministratore; se il pacchetto non soddisfa nessuna di queste regole, allora il pacchetto è buttato via; le regole cioè specificano il traffico permesso.
  2. In precedenza i firewall erano del tipo "tutto permesso": le regole specificano gli attacchi, invece del traffico lecito; se il pacchetto soddisfa una regola allora è buttato via.
  3. L'approccio "tutto proibito" è più difficile da configurare ma è preferibile a "tutto permesso", in quanto per usare "tutto permesso" è necessario 1) conoscere tutti gli attacchi; 2) aggiornare rapidissimamente le regole per rilevare gli attacchi, in quanto questi cambiano di continuo.

Un modo indiretto per avere una idea di "quanto" sia complicato realizzare il punto 3 si può avere con la considerazione seguente.

Molte organizzazioni utilizzano, in aggiunta e indipendentemente dai firewall, dei sistemi di "intrusion detection". Un sistema di questo genere è, concettualmente e semplificando, una sorta di firewall "tutto permesso": applica un insieme di regole che descrivono gli attacchi possibili ad ogni pacchetto; se un pacchetto soddisfa una regola, il pacchetto non è scartato ma viene generato un alert (oppure viene memorizzato il pacchetto su disco per analisi successive). Inoltre, le regole non si basano solo sugli header ma possono basarsi anche sul payload.

Uno dei sistemi di intrusion detection più diffusi è Snort. La comunità degli utenti Snort mantiene collettivamente le regole e le aggiorna periodicamente.

Bene, il numero di regole nella distribuzione di pochi giorni fa è 2500 (duemilacinquecento). Molte di queste regole possono essere inutili, se utilizzate in organizzazioni che hanno firewall "tutto proibito" (in tal caso infatti descrivono pattern di traffico che in quelle organizzazioni non si possono verificare). L'aspetto importante da notare è però proprio il fatto che la comunità ha costruito ben duemilacinquecento pattern di traffico sospetti...
Posta un commento