Packet Filtering / Filtraggio Pacchetti

packet filtering

Packet Filtering / Filtraggio Pacchetti

Packet Filtering / Filtraggio Pacchetti 527 321 Leonardo Marra

Il Packet Filtering secondo il manuale O’Relly ed altri contributi

Contenuti della guida riassunta:

Il filtraggio dei pacchetti è un meccanismo di sicurezza della rete che funziona controllando quali dati possono fluire da e verso una rete. Forniamo una breve introduzione ai concetti di rete IP di alto livello (una necessità per comprendere il filtraggio dei pacchetti) qui, ma se non hai già familiarità con l’argomento, prima di continuare, dovresti fare riferimento ai Fondamenti di TCP / IP per una discussione più dettagliata.

Per trasferire le informazioni attraverso una rete, le informazioni devono essere suddivise in piccoli pezzi, ciascuno dei quali viene inviato separatamente. La suddivisione delle informazioni in pezzi consente a molti sistemi di condividere la rete, ciascuno dei quali invia pezzi a turno. Nella rete IP, quei piccoli pezzi di dati sono chiamati pacchetti. Tutti i trasferimenti di dati attraverso reti IP avvengono sotto forma di pacchetti.

Il dispositivo di base che interconnette le reti IP è chiamato router. Un router può essere un componente hardware dedicato che non ha altro scopo oppure può essere un componente software che viene eseguito su un sistema UNIX o PC (MS-DOS, Windows, Macintosh o altro) per scopi generici. I pacchetti che attraversano una internetwork (una rete di reti) viaggiano da router a router finché non raggiungono la loro destinazione. Internet stesso è una specie di nonno delle internetworks, la “rete di reti” definitiva.

Un router deve prendere una decisione di instradamento su ogni pacchetto che riceve; deve decidere come inviare quel pacchetto verso la sua destinazione finale. In generale, un pacchetto non trasporta alcuna informazione per aiutare il router in questa decisione, a parte l’indirizzo IP della destinazione finale del pacchetto. Il pacchetto dice al router dove vuole andare, ma non come arrivarci. I router comunicano tra loro utilizzando “protocolli di instradamento” come RIP (Routing Information Protocol) e OSPF (Open Shortest Path First) per creare tabelle di instradamento in memoria per determinare come portare i pacchetti alle loro destinazioni. Quando instrada un pacchetto, un router confronta l’indirizzo di destinazione del pacchetto con le voci nella tabella di instradamento e invia il pacchetto in avanti come indicato dalla tabella di instradamento. Spesso, non ci sarà un percorso specifico per una destinazione particolare e il router utilizzerà un “percorso predefinito”; generalmente, un tale percorso dirige il pacchetto verso router più intelligenti o meglio collegati. (Le rotte predefinite nella maggior parte dei siti puntano verso Internet.)

Nel determinare come inoltrare un pacchetto verso la sua destinazione, un normale router guarda solo all’indirizzo di destinazione di un normale pacchetto e chiede solo “Come posso inoltrare questo pacchetto?” Un router per il filtraggio dei pacchetti considera anche la domanda “Devo inoltrare questo pacchetto?” Il router di filtraggio dei pacchetti risponde a questa domanda in base alla politica di sicurezza programmata nel router tramite le regole di filtraggio dei pacchetti.

NOTA: alcuni pacchetti insoliti contengono informazioni di instradamento su come devono raggiungere la loro destinazione, utilizzando l’opzione IP “percorso di origine”. Questi pacchetti, chiamati pacchetti instradati dalla sorgente, sono discussi nella sezione chiamata “Opzioni IP” di seguito.

1. Perché il filtraggio dei pacchetti?

Il filtraggio dei pacchetti ti consente di controllare (consentire o non consentire) il trasferimento dei dati in base a:

  • L’indirizzo da cui provengono i dati (presumibilmente)
  • L’indirizzo a cui stanno andando i dati
  • I protocolli di sessione e applicazione utilizzati per trasferire i dati

La maggior parte dei sistemi di filtraggio dei pacchetti no fare qualsiasi cosa in base ai dati stessi; non prendono decisioni basate sui contenuti. [1] Il filtraggio dei pacchetti ti permetterà di dire:

[1] Alcuni pacchetti, come il prodotto FireWall-1 di CheckPoint, sono eccezioni limitate a questa regola.

Non permettere a nessuno di utilizzare Telnet (un protocollo applicativo) per accedere dall’esterno.

oppure:

Consenti a tutti di inviarci e-mail tramite SMTP (un altro protocollo applicativo).

o anche:

quella macchina può inviarci notizie tramite NNTP (ancora un altro protocollo applicativo), ma nessun’altra macchina può farlo.

Tuttavia, non ti consentirà di dire:

questo utente può accedere tramite Telnet dall’esterno, ma nessun altro utente può farlo.

perché “utente” non è qualcosa che un sistema di filtraggio dei pacchetti può identificare. E non ti permetterà di dire:

puoi trasferire questi file ma non quei file.

perché anche “file” non è qualcosa che il sistema di filtraggio dei pacchetti può identificare.

Il vantaggio principale del packet filtering è la leva: consente di fornire, in un unico luogo, protezioni particolari per un’intera rete. Considera il servizio Telnet come esempio. Se disabiliti Telnet disattivando il server Telnet su tutti i tuoi host, devi comunque preoccuparti che qualcuno nella tua organizzazione installi una nuova macchina (o ne reinstalli una vecchia) con il server Telnet acceso. D’altra parte, se Telnet non è consentito dal tuo router di filtraggio, una tale nuova macchina sarebbe protetta fin dall’inizio, indipendentemente dal fatto che il suo server Telnet fosse effettivamente in esecuzione o meno. Questo è un esempio del tipo di posizione “a prova di errore”.

I router presentano anche un utile punto di strozzatura per tutto il traffico in entrata o in uscita da una rete. Anche se hai più router per la ridondanza, probabilmente hai molti meno router, sotto un controllo molto più stretto, rispetto alle macchine host.

Alcune protezioni possono essere fornite solo filtrando i router e solo se sono distribuiti in posizioni particolari nella rete. Ad esempio, è una buona idea rifiutare tutti i pacchetti che hanno indirizzi di origine interni, ovvero pacchetti che affermano di provenire da macchine interne ma che in realtà arrivano dall’esterno, perché tali pacchetti di solito fanno parte di attacchi di spoofing degli indirizzi . In tali attacchi, un utente malintenzionato finge di provenire da una macchina interna. Un processo decisionale di questo tipo può essere fatto solo in un router di filtraggio sul perimetro della rete. Solo un router di filtraggio in quella posizione (che è, per definizione, il confine tra “interno” ed “esterno”) è in grado di riconoscere un tale pacchetto, guardando l’indirizzo di origine e se il pacchetto proviene dall’interno (l’interno connessione di rete) o esterna (la connessione di rete esterna). La Figura illustra questo tipo di falsificazione dell’indirizzo di origine.

Figura 1: Falsificazione dell’indirizzo sorgente (spoofing)

1.1 Vantaggi del filtraggio dei pacchetti

Il filtraggio dei pacchetti presenta una serie di vantaggi.

1.1.1 Un router di screening può aiutare a proteggere un’intera rete

Uno dei principali vantaggi del filtraggio dei pacchetti è che un unico router di filtraggio dei pacchetti posizionato strategicamente può aiutare a proteggere un’intera rete. Se esiste un solo router che collega il tuo sito a Internet, ottieni un enorme vantaggio sulla sicurezza della rete, indipendentemente dalle dimensioni del tuo sito, eseguendo il filtraggio dei pacchetti su quel router.

1.1.2 Il filtraggio dei pacchetti non richiede la conoscenza o la cooperazione dell’utente

A differenza del proxy, il filtraggio dei pacchetti non richiede alcun software personalizzato o configurazione delle macchine client, né richiede alcuna formazione o procedure speciali per gli utenti . Quando un router di filtraggio dei pacchetti decide di lasciar passare un pacchetto, il router non è distinguibile da un normale router. Idealmente, gli utenti non si renderanno nemmeno conto che è lì, a meno che non provino a fare qualcosa che è proibito (presumibilmente perché si tratta di un problema di sicurezza) dalla politica di filtraggio del router di filtraggio dei pacchetti.

Questa “trasparenza” significa che il filtraggio dei pacchetti può essere fatto senza la collaborazione e spesso all’insaputa degli utenti. Il punto non è che puoi farlo in modo sovversivo, alle spalle dei tuoi utenti (mentre azioni del genere a volte sono necessarie – tutto dipende dalle circostanze – possono essere altamente politiche). Il punto è che puoi fare il filtraggio dei pacchetti senza che debbano imparare qualcosa di nuovo per farlo funzionare, e senza che tu debba dipendere da loro per fare (o non fare) nulla per farlo funzionare.

1.1.3 Il filtraggio dei pacchetti è ampiamente disponibile in molti router Le

capacità di filtraggio dei pacchetti sono disponibili in molti prodotti di routing hardware e software, sia commerciali che disponibili gratuitamente su Internet. La maggior parte dei siti dispone già di funzionalità di filtraggio dei pacchetti disponibili nei router utilizzati.

La maggior parte dei prodotti router commerciali, come i router di Livingston Enterprises e Cisco Systems, include funzionalità di filtraggio dei pacchetti. Le capacità di filtraggio dei pacchetti sono disponibili anche in una serie di pacchetti, come Drawbridge, KarlBridge e screend, che sono distribuiti gratuitamente su Internet.

NOTA: in questo libro, è impossibile fornire un elenco completo dei pacchetti commerciali e disponibili pubblicamente, perché vengono costantemente introdotti nuovi prodotti e le funzionalità di filtraggio dei pacchetti vengono costantemente aggiunte ai prodotti esistenti. Invece, qui ci concentreremo sulla discussione delle caratteristiche e delle capacità di filtraggio dei pacchetti generici e delle conseguenze di avere – o non avere – capacità particolari, in modo che tu possa rendere la tua valutazione dei prodotti attualmente disponibili.

1.2 Svantaggi del filtraggio dei pacchetti 

Sebbene il filtraggio dei pacchetti offra molti vantaggi, ci sono anche alcuni svantaggi nell’utilizzo del filtraggio dei pacchetti:

1.2.1 Gli attuali strumenti di filtraggio non sono perfetti

Nonostante la diffusa disponibilità del filtraggio dei pacchetti in vari pacchetti hardware e software, il filtraggio dei pacchetti non è ancora uno strumento perfetto. Le capacità di filtraggio dei pacchetti di molti di questi prodotti condividono, in misura maggiore o minore, limitazioni comuni:

  • le regole di filtraggio dei pacchetti tendono ad essere difficili da configurare. Sebbene ci sia una gamma di difficoltà, per lo più va da un leggero turbamento mentale a un intorpidimento del cervello impossibile.
  • Una volta configurate, le regole di filtraggio dei pacchetti tendono ad essere difficili da testare.
  • Le capacità di filtraggio dei pacchetti di molti prodotti sono incomplete, rendendo difficile o impossibile l’implementazione di alcuni tipi di filtri altamente desiderabili.
  • Come ogni altra cosa, i pacchetti di filtraggio dei pacchetti possono contenere dei bug; questi bug hanno maggiori probabilità di causare problemi di sicurezza rispetto ai bug proxy. Di solito, un proxy che non riesce semplicemente interrompe il passaggio dei dati, mentre un’implementazione del filtraggio dei pacchetti non riuscita può consentire i pacchetti che avrebbe dovuto negare.

1.2.2 Alcuni protocolli non sono adatti al filtraggio dei pacchetti

Anche con implementazioni perfette del filtraggio dei pacchetti, scoprirete che alcuni protocolli semplicemente non sono adatti alla sicurezza tramite il filtraggio dei pacchetti, per ragioni che discuteremo più avanti in questo libro. Tali protocolli includono i comandi “r” di Berkeley (rcp, rlogin, rdist, rsh, ecc.) E protocolli basati su RPC come NFS e NIS / YP.

1.2.3 Alcune politiche non possono essere applicate facilmente dai normali router di filtraggio dei pacchetti

Le informazioni che un router di filtraggio dei pacchetti ha a sua disposizione non ti consente di specificare alcune regole che potresti voler avere. Ad esempio, i pacchetti dicono da quale host provengono, ma generalmente non da quale utente. Pertanto, non è possibile applicare restrizioni a determinati utenti. Allo stesso modo, i pacchetti dicono su quale porta stanno andando, ma non su quale applicazione; quando si applicano restrizioni ai protocolli di livello superiore, lo si fa per numero di porta, sperando che nient’altro sia in esecuzione sulla porta assegnata a quel protocollo. I malintenzionati possono facilmente sovvertire questo tipo di controllo.

    Preferenze sulla privacy

    Quando si visita questo sito Web, è possibile che vengano archiviate informazioni attraverso il browser da servizi specifici, generalmente sotto forma di cookie. Qui puoi modificare le tue preferenze sulla privacy. Vale la pena notare che il blocco di alcuni tipi di cookie influenzano poco la tua esperienza su questo sito Web.
    Privacy Policy

    Click to enable/disable Google Analytics tracking code.
    Click to enable/disable Google Fonts.
    Questo sito utilizza cookie, principalmente da Google. Puoi definire le tue preferenze e/o accettarli.