Firewall,concetti avanzati

Nell’articolo precendente abbiamo visto una panoramica generale su cosa

sia un firewall e come opera, questa volta cercheremo di vedere e capire

piu’ da vicino i settaggi che possono determinare la sicurezza/insicurezza

di un firewall ed eventuali servizi aggiuntivi che un firewall puo’ svolgere.

Premettendo che un firewall per essere ragionevolmente sicuro deve essere

installato su una macchina dedicata, a meno che non siano previsti servizi

tipo FTP (distribuzione aggiornamenti,listini, ecc.), come accennato la volta

scorsa, la prima cosa che un amministratore di sistema, che si appresta a

montare un firewall, deve fare e’ di sospendere tutti i demoni non necessari;

questo per fare si che il sistema sia il piu’ “leggero” possibile e soprattutto

per chiudere tutte le connessioni TCP provenienti da porte non necessarie.

Per fare cio’ bisogna modificare il file /etc/inetd.conf; vediamo di seguito

un estratto di tale file:

 

#ident  “@(#)inetd.conf 1.22    95/07/14 SMI”   /* SVr4.0 1.5   */

#

# Configuration file for inetd(1M).  See inetd.conf(4).

#

# To re-configure the running inetd process, edit this file, then

# send the inetd process a SIGHUP.

#

# Syntax for socket-based Internet services:

# <service_name> <socket_type> <proto> <flags> <user> <server_pathname> <args>

#

# Syntax for TLI-based Internet services:

#

#  <service_name> tli <proto> <flags> <user> <server_pathname> <args>

#

# Ftp and telnet are standard Internet services.

#

ftp     stream  tcp     nowait  root    /usr/sbin/in.ftpd       in.ftpd

telnet  stream  tcp     nowait  root    /usr/sbin/in.telnetd    in.telnetd    

time    stream  tcp     nowait  root    internal

 

Come si puo’ notare sono elencati diversi deamon (la lista completa Š in

genere composta da una ventina di deamon), che in questo caso sono tutti

attivi: per eliminarli non bisogna far altro che inserire un commento (#)

all’inizio della riga in cui sono definiti.

Questo file pero’ per noi che siamo fuori dal sistema ha una utilit… relativa

in quanto nel momento in cui riusciamo a darci una occhiata significa che

siamo dentro il sistema e quindi siamo a posto!!8)

Per chi e’ fuori l’unico modo di vedere quali porte sono state lasciate aperte

e’ di utilizare uno dei tanti Port Scanner, che una volta lanciato ci

elenchera’ tutte le porte disponibili, comprese quelle lasciate aperte dai

vari servizi di start up e dal kernel (che non sono elencati nel file appena

visto) tipo mountd, nfsd, rstatd, portmap ecc..

Un’altra cosa da verificare, e’ vedere se e’ stato disabilitato l’IP

forwarding. Il firewall, essendo collegato a due reti, ha ovviamente due

interfacce di rete, e se l’IP forwarding non e’ stato disabilitato tutti i

pacchetti che arrivano ad una interfaccia, e sono destinati ad una LAN

diversa da quella di provenienza (che potrebbe essere anch’essa protetta

dal firewall), vengono ritrasmessi a tutte le interfacce disponibili, compresa

quella che comunica con il “mondo esterno”, senza dover passare per il proxy,

di conseguenza tutto il potenziale del firewall viene a cadere.

Ma il vero cuore del sistema e’ la rule table cioe’ quel file (in genere

/usr/local/etc/netperm-table) dove sono inserite tutte le regole di accesso

alla rete che vengono usate dai proxy dei vari servizi.

Il file in questione e’ un file testo in cui in ogni riga e’ presente una

regola di accesso; la sintassi ed i paramentri delle varie regole sono diverse

a seconda dei vari servizi e dei tipi di proxy usati, ma piu’ o meno ricalcano

questo schema:

 

<nome proxy> <permit/deny> hosts <xxx.xxx.xxx> -exec <path+argomenti>

 

<nome proxy> : identifica il servizio a cui va applicata la regola

<permit/deny> hosts <xxx.xxx.xxx> : permette o meno l’accesso ad un IP o un

                                    gruppo di IP

-exec <path+argomenti> : specifica il percorso e gli eventuali argomenti

                         del programma che gestisce il servizio (demone)

 

A questi parametri possono esserne aggiunti o eliminati alcuni a seconda

del proxy utilizzato.

Concludiamo infine questa breve panoramica sui firewall ricordando che un

sistema di questo tipo puo’ essere usato anche come protezione contro

attacchi ICMP e flood in genere; basta aggiungere delle opportune regole

alla rule table; in genere e’ sempre opportuno inserirle…non si sa mai..

la Rete e’ piena di lamer che si divertono con poco…..

 

                                                      ..SeE Ya..

 

P.S. Visto che certa gente si Š lamentata del fatto che per l’articolo del

numero precendente avevo preso spunto dalla Firewall FAQ di Marcus J. Ranum,

vorrei fare notare che, almeno che voi il vostro Know-how non lo prendiate in

pillole, da qualche parte le informazioni vanno lette e di conseguenza visto

che tale documento esponeva alcuni concetti molto bene ho ritenuto opportuno

usarlo come base del mio discorso. Sempre per la cronaca l’articolo che avete

appena letto, non ha preso spunto da niente se non dalla mia personale

esperienza.

Fonte : Ramlin

Torna alla HomePage

Lascia un commento

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...