Home
Manuale utente EnterNet FireWall™ EnterNet FireWall Manager
Contents
1. Name Action Log Iface Net Comments 1 y Drop the zero net reserved FA Drop M ANY 127 0 0 0 8 Drop the localhost net should never be hear 3 Dop M any 224 0 0 0 3 Drop the multicast net Da un punto di vista teorico le funzionalita della scheda Access possono essere utilizzate solo mediante la scheda Rules Tuttavia per semplificare l amministrazione e ridurre il rischio di improvvise violazioni della sicurezza EnterNet FireWall divide il set di regole in sue sezioni distinte La sezione Access controlla quali indirizzi IP che il firewall accetter come indirizzi del mittente su ciascuna interfaccia In altre parole si tratta di una protezione contro lo spoofing IP La sezione Access non decide quali indirizzi del mittente saranno autorizzati a comunicare attraverso il firewall n tantomeno in quale modo potranno comunicare Decide esclusivamente quali indirizzi del mittente sono validi per un interfaccia specifica Il vantaggio di utilizzare la sezione Access consiste nel fatto che gli indirizzi ricevuti su un interfaccia specifica della sezione Rules sono sempre corretti a condizione che la sezione Access sia configurata correttamente Il set di regole della sezione Access confronta ciascun pacchetto ricevuto con le proprie regole riga dopo riga finch i valori non corrispondono ai parametri Iface e Net Dopo aver trovato una regola corrispondente viene eseguita l azione e Name Specifica un
2. 1 ip_int 192 168 123 1 2 br_int 192 168 123 255 necessario sostituire l indirizzo ip_int con l IP relativo all interfaccia interna del firewall Sostituire l indirizzo br_int con l indirizzo broadcast della rete interna L indirizzo broadcast il pi alto della rete Gli indirizzi ip_int e br_int vengono utilizzati nella sezione Interfaces per configurare l interfaccia int 3 ip_ext 194 1 2 2 4 br_ext 194 1 2 255 Apportare le modifiche descritte nelle istruzioni precedenti che verranno applicate all interfaccia esterna del firewall Questi indirizzi vengono forniti principalmente dal provider di servizi Internet ISP Internet Service Provider 5 gw world 194 1 2 1 Si tratta dell indirizzo del router pi esterno e nella maggior parte dei casi viene fornito dal provider di servizi Internet ISP Internet Service Provider 6 loghost 0 0 0 0 Dopo avere installato EnterNet FireWall Logger o un daemon syslog di terze parti digitarne l indirizzo in questa posizione 174 EnterNet FireWall L indirizzo viene utilizzato nella sezione Loghosts perch il firewall disponga delle informazioni per l invio dei dati da registrare Se si utilizza un destinatario syslog al posto di FireWall Logger sar necessario modificare il tipo di loghost nella sezione Loghosts wwwsrv priv 0 0 0 0 mailsrv priv 0 0 0 0 Se s
3. Il tipo di regola utilizzato da EnterNet FireWall per la traduzione statica di indirizzo NAT statica Per ulteriori informazioni consultare la sezione 8 1 Traduzione degli indirizzi SMTP viene utilizzato per inviare messaggi e mail ai server di posta Richiede la connessione pi o meno costante del server di destinazione alla rete e quindi non particolarmente adatto per inviare e mail a destinatari finali Vedere anche POP3 e IMAP4 Vedere Simple Mail Transfer Protocol 306 Glossario Stack Switch TCP TCP IP Time To Live Transmission Control Protocol TTL 1 Un area dinamica di dati in un computer Utilizzata dai programmi per memorizzare temporaneamente dati e altri elementi 2 Uno stack TCP o IP la parte del software di rete del computer che gestisce rispettivamente TCP e IP Questa definizione di stack non ha alcuna correlazione con quella data nella definizione 1 Uno switch svolge approssimativamente la stessa funzione che svolge un hub in una LAN La differenza che lo switch consente il passaggio del traffico che lo raggiunge solo verso il computer a cui destinato I computer collegati a uno switch possono utilizzare la comunicazione Full Duplex Vedere anche hub Vedere Transmission Control Protocol Termine generico per la combinazione pi comune di protocolli di rete Internet TCP viene trasportato all interno di IP Vedere anche TCP e IP I valori TTL vengono utilizza
4. Per garantire le massime prestazioni si consiglia di utilizzare solo i driver integrati I driver ODI non possono utilizzare le memorie buffer dei pacchetti posizionati oltre 1MB di RAM e funzionano in modalit 16 bit Per questo motivo durante l invio e la ricezione dei pacchetti il software del firewall costretto a ridurre il relativo numero di memorie buffer e a effettuare passaggi tra la modalit a 32 ea 16 bit a svantaggio delle prestazioni In fase di installazione importante conoscere alcune informazioni sulle impostazioni della scheda di rete Per le schede PCI necessario specificare il numero SLOT mentre per quelli ISA indispensabile inserire i numeri IRQ interrupt e PORT In genere queste informazioni sono incluse nel programma di configurazione della scheda ad esempio in 3c5x9cfg exe per le schede 3Com EtherLink III oppure nel software PCIScan exe per i dispositivi PCI Il programma di configurazione per le schede 3Com 3C509 EtherLink III 3Com Fast EtherLink 10 100 e Intel EtherExpress Pro 100 incluso in EnterNet FireWall Consultare il paragrafo 6 4 4 Configurazione dell interfacciaconfigurazione dell interfaccia Alcuni programmi di installazione consentono di regolare le prestazioni delle schede di rete I modelli 3c90x di 3Com ad esempio includono un opzione denominata Maximize Network Throughput La possibilit di modificare questo tipo di impostazioni molto importante per ottenere pre
5. 176 EnterNet FireWall Drop ANY 224 0 0 0 3 La regola 3 consente di bloccare gli indirizzi di mittenti da 224 0 0 0 a 255 255 255 255 indipendentemente dall origine Si tratta di indirizzi multicast che sono validi ma possono essere utilizzati solo come destinazione quindi non sono consentiti come indirizzi di mittente Expectlint intnet La regola 4 presuppone che gli indirizzi dei mittenti appartenenti a internet arrivino all interfaccia interna Se l indirizzo del mittente del pacchetto appartiene a intnet ma raggiunge un interfaccia differente viene scartato e registrato Expectjext all nets La regola 5 presuppone che tutti gli indirizzi non appartenenti alle categorie descritte in precedenza arrivino all interfaccia esterna Se i pacchetti con tali indirizzi di mittente raggiungono un interfaccia differente vengono scartati e registrati Notare che la regola applicata al parametro all nets che come detto in precedenza equivale a tutti gli indirizzi IP Tuttavia visto che la ricerca all interno del set di regole viene eseguita dall alto verso il basso gli indirizzi 0 0 0 0 8 127 0 0 0 8 e 224 0 0 0 3 e intnet saranno gi stati presi in considerazione prima che nell ordine venga raggiunta la regola 5 EnterNet FireWall 177 Descrizione della sezione Rules L insieme di regole di questo modello di configurazione pu essere r
6. I nomi e i valori utilizzati negli eventi syslog sono pi o meno uguali a quelli presenti nelle espressioni E SQL di FireWall Logger Per ulteriori informazioni consultare la sezione 9 4 Riferimenti E SQL _ Auditing da EnterNet Firewall 9 6 Visualizzazione Real Time dei Log EnterNet FireWall Manager consente di visualizzare in tempo reale i messaggi di log provenienti dai firewall selezionando il firewall desiderato e scegliendo Realtime Log dal menu FireWall Questo formato degli eventi log presentato nel visualizzatore dei log un ibrido dei formati di FireWall Logger e syslog dal momento che vengono visualizzate frasi in cui viene descritto il motivo che ha causato un evento mentre i dump di pacchetto e le descrizioni delle connessioni vengono registrati nel formato syslog Il visualizzatore in tempo reale non pu mostrare i messaggi di log meno recenti ma solo quelli che giungono nel momento in cui il visualizzatore attivo La visualizzazione Real Time Log comunica tramite la stessa connessione crittografata utilizzata da altre funzioni di gestione remota Per questo i FireWall Manager che desiderano visualizzare in tempo reale i dati di log non devono necessariamente comparire nell elenco dei ricevitori di log nella sezione di configurazione Loghosts 10 Configurazione del traffico Prima di iniziare sono necessarie alcune precisazioni Modellare il traffico limitare e garantire la larghezza di banda di
7. Transport Layer Security che utilizza gestione delle chiavi Kryptonet SKIP ICMP per IPv6 No Next Header per IPv6 Destination Options IPv6 Protocollo interno di host CFTP Rete locale SATNET Backroom EXPAK Kryptolan MIT Remote Virtual Disk Internet Pluribus Packet Core File system distribuito SATNET Monitoring VISA Protocol Internet Packet Core Utility Computer Proto Net Executive 1827 1826 1735 1883 1883 1883 269 270 Internet e TCP IP 73 CPHB 74 WSN 75 PVP 76 BR SAT MON 77 SUN ND 78 WB MON 79 WB EXPAK 80 ISO IP 81 VMTP 82 SECURE VMTP 83 VINES 84 TTP 85 NSFNET 86 DGP 87 TCF 88 EIGRP 89 OSPFIGP 90 Sprite RPC 91 LARP 92 MTP 93 AX 25 94 IPIP 95 MICP 96 SCC SP 97 ETHERIP 98 ENCAP 99 100 GMTP 101 IFMP Computer Proto Heart Beat Wang Span Network Packet Video Protocol Backroom SATNET Monitoring SUN ND Protocol WIDEBAND Monitoring WIDEBAND EXPAK ISO Internet Protocol VMTP SECURE VMTP VINES TTP NSFNET IGP Dissimilar Gateway Protocol TCF EIGRP Open Shortest Path First IGP 1583 Sprite RPC Protocol Locus Address Resolution Multicast Transport Protocol AX 25 Frames IP within IP Encapsulation Mobile Internetworking Control Semaphore Comms Security Ethernet within IP Encap Encapsulation Header 1241 Schema privato di crittografia GMTP Ipsilon Flow Management Internet e TCP IP 271 102 PNNI PNNI over IP 103 PIM Protocol Indepen
8. Un firewall in grado di filtrare solo i dati che riceve Pertanto non garantisce alcuna protezione dagli attacchi interni alle reti locali tramite le quali tutti i computer comunicano tra loro direttamente Inoltre i firewall non possono garantire la protezione del sistema quando gli utenti locali utilizzano dischi floppy per installare programmi pericolosi in rete oppure per esportare informazioni delicate Questo punto potrebbe sembrare ovvio Tuttavia quasi tutti gli utenti sottovalutano l effetto di questo tipo di danni Anche se le cifre variano in base alle fonti ormai certo che pi del 50 di tutti i problemi relativi alla sicurezza dei dati derivano da attacchi interni Secondo alcune statistiche questa percentuale ammonta addirittura all 80 2 5 5 Connessioni modem e VPN Spesso i gateway VPN e i modem vengono considerati sicuri come una rete protetta e quindi vengono collegati direttamente a essa senza alcuna protezione Purtroppo i gruppi di modem possono essere soggetti ad attacchi diretti e in casi estremi possibile intercettare le linee telefoniche Qualsiasi intruso indesiderato infatti potrebbe riprogrammare in remoto i parametri di qualsiasi centralino posto sulla rete di telecomunicazioni Per quanto riguarda i collegamenti VPN importante ricordare che anche se la connessione stessa ben protetta il livello generale di sicurezza direttamente proporzionale a quella dei punti finali d
9. sco zi fn Besuts Wizard Esa Query di esempio Le impostazioni descritte nell esempio eseguiranno una query che cercher nei file di registro del firewall gw nomeazienda gli eventi di log ricevuti nel corso degli ultimi 5 giorni La ricerca include solo gli eventi registrati a causa di pacchetti scartati e destinati alla porta TCP 137 gt LogQuery FWLogger _ Of x Source Source Jow samplet x Times z 2000 06 01 2000 07 01 Source gu sample2 x Times z 2000 06 01 2000 07 01 Filter Exclude Include Include an Ja f Exclude Include include z fuo A if a f Results Wizard Esa Query di esempio Le impostazioni descritte nell esempio eseguiranno una query che cercher nei file di registro dei firewall gw samplel e gw sample2 gli eventi di log ricevuti tra il 2000 06 01 e il 2000 07 01 Verranno inclusi solo gli eventi registrati a causa di uso illegale delle flag TCP SYN e URG _ Auditing da EnterNet Firewall 9 3 2 Visualizzazione Results La visualizzazione Results mostra i risultati di una precedente ricerca e pu essere utilizzata anche per creare determinati tipi di query basate sui risultati La visualizzazione divisa in tre sezioni ciascuna con un diverso livello di dettagli e contenuti c EnterNet Firewall Manager LogQuery FWLogger x J File Logger Window Help 18 x mie eile 2001 01 20 18 38 11 gw myorgani SYSTEM SHUTDOWN RECONFIG
10. 184 EnterNet FireWall L area DMZ contiene e Un server Web wwwsrv priv con la porta 80 accessibile tramite un indirizzo pubblico wwwsrv pub Nelle opzioni predefinite l indirizzo viene impostato come equivalente all indirizzo IP esterno del firewall e Un server di posta mailsrv priv con la porta 25 accessibile da un indirizzo pubblico mailsrv pub Nelle opzioni predefinite l indirizzo viene impostato come equivalente all indirizzo IP esterno del firewall e Un server FTP ftpsrv che ha un indirizzo pubblico nonostante si trovi nell area DMZ insieme ad altri server con indirizzi privati Affinch EnterNet FireWall v5 1 possa gestire le comunicazione con un server FTP il server deve avere un indirizzo pubblico A tal fine la porta 21 e le porte 1024 65535 sul server FTP devono essere accessibili pubblicamente Descrizione della sezione Hosts 1 fip_int 192 168 123 1 2 br_int 192 168 123 255 E necessario sostituire l indirizzo ip_int con l IP relativo all interfaccia interna del firewall Sostituire l indirizzo br_int con l indirizzo broadcast della rete interna L indirizzo broadcast il pi alto della rete Gli indirizzi ip_int e br_int vengono utilizzati nella sezione Interfaces per configurare l interfaccia int 3 ip_ext 194 1 2 2 4 br_ext 194 1 2 255 Apportare le modifiche descritte nelle istruzioni precedenti che verranno applicate all interfaccia esterna del firewall
11. Grazie a questi due protocolli a flusso debole 1 operazione non presenta alcun problema Tuttavia se si trattasse di audio in tempo reale probabilmente la larghezza di banda disponibile verrebbe interamente utilizzata dai flussi audio e non ne rimarrebbe altra per esplorazione DNS FTP e tutti gli altri protocolli Configurazione del traffico 10 2 2 2 Suggerimenti sulla configurazione delle priorit e larghezza di banda Prima di proseguire con la serie di esempi parlando di larghezza di banda garantita raggruppamento e bilanciamento dinamico necessario soffermarsi su alcuni importanti punti da ricordare Le garanzie non servono solo a garantire Il traffico garantito ordinato in base alla priorit funziona limitando tutto ci che non ordinato in base alla priorit Come vengono calcolati questi limiti In ogni pipe i limiti delle priorit pi basse vengono calcolati sottraendo al limite totale il flusso corrente di precedenze pi elevate Questo ha molte pi implicazioni di quanto si potrebbe pensare a prima vista Se si ha la necessit di impostazioni pi avanzate dei limiti semplici si consiglia di leggere attentamente i seguenti punti Impostazione di un limite totale La larghezza di banda nelle precedenze pi basse non viene regolata finch attraverso il pipe non passa tutto il traffico stabilito dal limite totale D altronde per quale motivo regolarla prima di quel momento Se si dispone di un
12. area DMZ Il seguente esempio descrive un server Web con un indirizzo privato situato in un area DMZ Per consentire agli utenti esterni di accedere al server Web questo deve essere raggiungibile da un indirizzo pubblico Si scelto di tradurre la porta 80 sull indirizzo esterno del firewall nella porta 80 del server Web 1 SAT ANY All nets ip_ext 32 All gt 80 SetDest wwwsrv 80 2 Allow ANY All nets ip_ext 32 All gt 80 Queste due regole consentono di accedere al server Web tramite l indirizzo IP esterno del firewall Con la regola 1 viene stabilito che la traduzione dell indirizzo pu avvenire se stata autorizzata la connessione mentre la regola 2 consente la connessione Naturalmente necessaria una regola che consenta la traduzione dinamica degli indirizzi delle macchine interne per accedere a Internet In questo esempio viene utilizzata una regola che consente a tutti gli elementi della rete interna di accedere a Internet tramite NAT Hide 3 NAT int Intnet all nets All gt All Dove si trova l errore nel set di regole Supponendo di volere eseguire la traduzione dell indirizzo per ragioni di sicurezza e di funzionalit si scopre che questo set di regole rende visibili gli indirizzi interni alle macchine nella zona demilitarizzata Quando le macchine interne si collegano a ip_ext port 80 verranno autorizzate a procedere in base alla regola 2
13. cisco identification port cisco identification port cc mail lotus cc mail lotus DEC Notes DEC Notes America Online America Online X Window System X Window System 12 Domande frequenti FAQ E possibile consultare una knowledge base con domande frequenti all indirizzo http www enternet net da cui possibile anche scaricare le versioni pi recenti del presente Manuale utente Come possibile importare i contenuti di un disco di avvio di EnterNet FireWall nel database di amministrazione di FireWall Manager Per importare tutti i dati del firewall da un disco di avvio nel database di amministrazione necessario seguire un procedimento suddiviso in tre fasi Creare un nuovo firewall in FireWall Manager con lo stesso indirizzo IP del firewall esistente Inserire il relativo disco di avvio nella workstation di FireWall Manager Se si desidera continuare ad utilizzare la stessa chiave di crittografia del firewall presente selezionare il firewall nell elenco e dal menu FireWall scegliere Advanced Load Key from Disk In questo modo viene copiata la chiave di crittografia dal disco di avvio nel database di amministrazione stata copiata la configurazione attuale Dal menu FireWall selezionare Configure In questo modo si apre la visualizzazione della configurazione Dal menu File selezionare Advanced Open from Disk In questo modo la configurazione viene aperta e i file trasferiti alla RAM Scegliere OK per
14. migliorare la situazione Per una maggiore comprensione di quello che avviene in una configurazione attiva si consiglia di provare il comando pipe u lt pipename gt che permette di visualizzare l elenco degli utenti correntemente attivi su ciascun pipe 10 2 4 Bilanciamento dinamico della larghezza di banda Come detto in precedenza possibile limitare la larghezza di banda ad ogni singolo utente consentendo il raggruppamento all interno di un pipe in modo da assicurare che un utente non esaurisca tutta la larghezza di banda disponibile Cosa accade se si imposta un limite della larghezza di banda per il pipe intero e questo limite viene superato Nell esempio precedente il limite di larghezza di banda con precedenza 1 per ciascun utente di 16 kbps mentre il limite con precedenza 1 per il pipe di 64 kbps In questo modo la larghezza di banda ad elevata precedenza viene distribuita equamente fino a quattro utenti Se un quinto utente genera traffico SSH il limite di 64 kbps viene superato generando risultati non prevedibili dal momento che alcuni utenti riceveranno comunque i 16 kbps mentre altri no Per prevenire situazioni di questo genere EnterNet FireWall dispone di una funzione denominata Dynamic Bandwidth Balancing Bilanciamento dinamico della larghezza di banda Questo algoritmo garantisce l abbassamento e l innalzamento dinamico dei limiti di larghezza di banda in base a ciascun singolo utente
15. recenti Operazioni preliminari Se i contatori Input di entrambe le sezioni sono in aumento probabile che le interfacce siano collegate alle reti fisiche non appropriate Oppure potrebbe trattarsi di un problema nella sezione Nets della configurazione Infine le informazioni di instradamento incluse negli host o nei router connessi potrebbero essere errate Se le suddette istruzioni non dovessero comunque risolvere il problema contattare il proprio fornitore oppure il servizio assistenza di EnterNet 7 EnterNet FireWall Manager EnterNet FireWall Manager stato progettato per semplificare la gestione di EnterNet FireWall sia in remoto che durante l installazione All interno di FireWall Manager infatti possibile archiviare informazioni sulle impostazioni delle schede di rete sulla configurazione e sulla chiave di crittografia di ogni firewall In questo modo se un firewall dovesse danneggiarsi oppure dovesse scomparire dalla configurazione sar possibile ricreare rapidamente i dischi di avvio corrispondenti comunque possibile utilizzare il firewall senza FireWall Manager Infatti viene eseguito il backup di tutti i dati sia all interno del database di amministrazione di FireWall Manager che in ogni singolo firewall Quindi eventuali modifiche alla configurazione tramite FireWall Manager non influenzeranno direttamente il firewall anzi sar necessario inviare ad esso la nuova configurazione
16. 79 udp 80 tcp 80 udp 94 tcp 94 udp 101 tcp 101 udp Simple Mail Transfer Time Time Who Is Who Is Digital Audit Daemon Digital Audit Daemon Login Host Protocol Login Host Protocol Domain Name Server Domain Name Server Oracle SQL NET Oracle SQL NET Bootstrap Protocol Server Bootstrap Protocol Server Bootstrap Protocol Client Bootstrap Protocol Client Trivial File Transfer Trivial File Transfer Gopher Gopher Finger Finger World Wide Web HTTP World Wide Web HTTP Tivoli Object Dispatcher Tivoli Object Dispatcher NIC Host Name Server NIC Host Name Server Internet e TCP IP 275 3com tsmux 3com tsmux rtelnet rtelnet pop2 pop2 pop3 pop3 sunrpc sunrpe auth auth uucp path uucp path sqlserv sqlserv nntp nntp ntp ntp pwdgen pwdgen cisco fna cisco fna cisco tna cisco tna cisco sys cisco sys statsrv 106 tcp 106 udp 107 tcp 107 udp 109 tcp 109 udp 110 tcp 110 udp 111 tcp 111 udp 113 tcp 113 udp 117 tcp 117 udp 118 tcp 118 udp 119 tcp 119 udp 123 tcp 123 udp 129 tcp 129 udp 130 tcp 130 udp 131 tcp 131 udp 132 tcp 132 udp 133 tcp 3COM TSMUX 3COM TSMUX Remote Telnet Service Remote Telnet Service Post Office Protocol Version 2 Post Office Protocol Version 2 Post Office Protocol Version 3 Post Office Protocol Version 3 SUN Remote Procedure Call SUN Remote Procedure Call Authentication Service Authentication Service UUCP Path Service UUCP P
17. EnterNet FireWall Manager Dalla barra dei menu scegliere Log e quindi fare clic su Query Log Receiver In questo modo si apre una finestra simile a quella sottostante a LogQuery FWLogger D x j Exclude Include Include X il X IN include srcip Results Wizard Esan La parte inferiore della finestra presenta tre schede da utilizzare per alternare le tre diverse visualizzazioni dello strumento Results Wizard ed E SQL Visualizzazione Wizard Questo wizard utilizzato come procedura guidata per creare in modo semplice una query di log selezionando le origini e i filtri appropriati dai menu a discesa Altre righe vengono aggiunte automaticamente al momento dell inserimento dei dati nella procedura guidata E possibile eliminare e aggiungere manualmente righe utilizzando il pulsante destro del mouse o il menu Logger dalla barra dei menu Auditing da EnterNet Firewall 9 3 1 1 Definizione delle sorgenti dei log In questa sezione sorgenti della procedura guidata vengono specificati i firewall e il periodo di tempo per ciascun firewall a cui si riferisce ad una query a LogQuery FWLogger OF x Dal menu a discesa sulla sinistra selezionare il firewall per cui si desidera effettuare una query Nel menu sono elencati tutti i firewall definiti come Allowed Firewalls nella sezione Configure Receiver della configurazione di FireWall Logger Il
18. La procedura di installazione risulta quindi notevolmente accelerata e semplificata perch non necessario consolidare i sistemi operativi Viene inoltre eliminata la necessit di effettuare aggiornamenti o di installare patch aggiuntivi che potrebbero alterare le funzionalit del firewall Prestazioni senza paragoni In assenza di un sistema operativo EnterNet FireWall utilizza esclusivamente le funzioni hardware rendendolo pertanto uno dei firewall pi veloci attualmente disponibili sul mercato 22 EnterNet FireWall Stateful inspection EnterNet FireWall utilizza la tecnologia stateful inspection che consente al firewall di funzionare in modo pi rapido ed efficiente Tale funzione richiede un minor utilizzo della CPU rispetto ai firewall proxy Questo consente di raddoppiare le prestazioni e richiede specifiche hardware notevolmente inferiori Inoltre con la tecnologia stateful inspection il firewall risulta invisibile alla rete protetta Di conseguenza non necessario che gli host protetti siano a conoscenza delle presenza del firewall dal momento che non sono richieste impostazioni proxy Questo semplifica le procedure di configurazione di EnterNet FireWall per la gestione dei nuovi protocolli Infatti non pi necessario attendere che fornitori di terze parti sviluppino sistemi proxy per i nuovi protocolli 64 interfacce separate EnterNet FireWall 6 0 supporta fino a 64 schede di rete ad esempio una connession
19. Logger bene sottolineare ancora una volta che questo percorso deve possedere le propriet di scrittura e lettura per potere configurare il ricevitore di log Ad esempio se FireWall Logger installato su un server denominato LOGSRV in una directory condivisa come FWLogger il percorso da digitare LOGSRVW FWLogger Naturalmente pu essere utilizzata anche la notazione X Directory nel caso in cui la condivisione sia gi stata mappata Auditing da EnterNet Firewall 9 2 2 2 Configurazione del ricevitore Per evitare di ricevere dati di log imprevisti o dannosi ciascun firewall configurato per inviare dati di log a un EnterNet FireWall Logger deve essere autorizzato nella configurazione di quello specifico FireWall Logger I dati di log provenienti da un firewall non specificato nella configurazione verranno respinti Questi tentativi vengono riassunti nel log degli eventi del server ogni 10 minuti Selezionare il Firewall Logger da configurare dall elenco dei ricevitori connessi Scegliere il pulsante Configure Receiver In questo modo si apre la finestra di dialogo sottostante Configure Log Receiver F Logger x Available Firewalls Allowed Firewalls Name IPAddress Name IPAddress gw myorganisation 192 168 1 Add gt gt lt lt Remove m Parameters Maintenance hour Max Log File Size Keep Old Logs E o23 f MByte days Le impostazioni presen
20. MobileIP Agent mobilip mn 435 tcp MobilIP MN mobilip mn 435 udp MobiliP MN decvms 441 tcp decvms sysmgt sysmgt decvms 441 udp decvms sysmgt sysmgt https 443 tcp https Mcom https 443 udp https Mcom microsoft ds 445 tcp Microsoft DS microsoft ds 445 udp Microsoft DS as servermap 449 tcp AS Server Mapper as servermap 449 udp AS Server Mapper exec 512 tcp esecuzione remota del processo l autenticazione viene eseguita utilizzando le password e i nomi di accesso UNIX 280 Internet e TCP IP biff login who cmd syslog printer printer talk talk ntalk ntalk utime utime 512 adp 513 tcp 513 udp 514 tcp 514 udp 515 tcp 515 udp 517 tcp 517 adp 518 tcp 518 udp 519 tcp 519 udp utilizzato dal sistema di posta per notificare agli utenti la ricezione della posta attualmente riceve messaggi solo da processi dello stesso computer remote login a la telnet autenticazione automatica eseguita sulla base dei numeri di porta con privilegi e delle basi dati distribuite che identificano i domini di autenticazione mantiene le basi dati che mostrano l utente connesso ai computer di una rete locale nonch il carico medio del computer analogo ad exec ma l autenticazione automatica viene eseguita per quanto riguarda il server di accesso Spooler Spooler analogo al collegamento tenex ma tramite computer Unixtime Unixtime Internet e TCP IP 28
21. Ogni query E SQL deve iniziare con la parola chiave SELECT Dopo SELECT vengono specificati uno o pi tipi di output consultare la sezione Tipi di output separati da una virgola Lo strumento integrato di analisi dei log si attende dati binari non elaborati quindi utilizzare SELECT BINARY per le query nel riquadro E SQL del visualizzatore dei log Dopo la parola chiave FROM vengono specificate una o pi istruzioni di firewall e di ora consultare la sezione Istruzioni di firewall e di ora possibile specificare come opzione la parola chiave WHERE seguita da un istruzione logica Auditing da EnterNet Firewall Operatori logici Gli operatori logici possono essere utilizzati all interno dell istruzione WHERE Attualmente sono supportati i seguenti operatori logici AND OR NOT Gli operatori logici hanno la stessa priorit degli equivalenti di C C L utilizzo di parentesi attorno all espressione pu modificarne la priorit Esempio srcip 10 0 0 1 and destip 192 168 123 1 or destip 192 168 123 2 Operatori di comparazione Gli operatori di comparazione vengono utilizzati per confrontare le variabili con i valori specificati dall utente Sono supportati i seguenti operatori IN range expression Tutti i valori specificati dall utente devono essere riportati entro i caratteri Esempio srcip 10 0 0 1 and destip 192 168 123 1 srcip IN 10 0 0 1 10 0 0 255 and
22. P itm Tuttavia la sola creazione di un pipe _ MM non porta a grandi risultati dal momento che necessario consentire il Totat 255 f passaggio del traffico attraverso il pipe Per questo bisogna assegnare i f OK Cancel pipe nella colonna Pipes della sezione Se Rules Il pipe indicato nell esempio verr utilizzato per limitare il traffico in entrata ovvero i pacchetti e non le connessioni Ci che realmente importante nella gestione del traffico la direzione in cui viene spostato il traffico e non il computer che ha avviato la connessione Configurazione del traffico Viene creata una semplice regola che consente il passaggio di tutti gli elementi dall interno verso l esterno 1 int intnet all nets Standard 2 ni Action Pipes Src If Source Net Dest If Dest Net Proto Ports Params ext Il pipe creato stato Define Pipe Chains for Rules x aggiunto alla p Forward Chain p Betum Chain concatenazione di eas adi ritorno In questo sa modo i pacchetti che Da si spostano nella possi P E direzione di ritorno di questa connessione resto devono attraversare il GELO pipe std in C UseFged P 0 7 C MapIP DSCP ToS Con questo tipo di configurazione viene limitato tutto il traffico proveniente dall esterno da Internet a 256 kilobit per secondo come se una connessione Internet a 256 kbps rappresentasse il collo di bottiglia Non
23. che utilizzano gli indirizzi multicast a livello hardware Impostazione predefinita DropLog EnterNet FireWall Manager ARPBroadcast Definisce la modalita in cui il firewall gestisce le richieste e le risposte ARP in cui sono presenti indirizzi broadcast Tali richieste non sono quasi mai corrette Impostazione predefinita DropLog Impostazioni Stateful Inspection ConnReplace Consente di aggiungere voci all elenco delle connessione del firewall sostituendo le vecchie connessioni nel caso in cui non vi sia pi spazio disponibile Impostazione predefinita ReplaceLog LogOpenFails Nei casi in cui la sezione Rules determini che un pacchetto possa essere autorizzato a passare il meccanismo di ispezione dello stato pu decidere successivamente che il pacchetto non possa aprire una nuova connessione Un chiaro esempio il pacchetto TCP che sebbene autorizzato dalla sezione Rules e non facendo parte di una connessione attiva ha il flag SYN disabilitato Tali pacchetti non possono mai aprire nuove connessioni Inoltre le nuove connessioni non possono mai essere aperte da messaggi ICMP diversi da ICMP ECHO Ping Questa impostazione determina se il firewall deve registrare l occorrenza di tali pacchetti Impostazione predefinita ABILITATO LogReverseOpens Determina se il firewall registrer i pacchetti che tentano di riaprire una nuova connessione attraverso una gi aperta Nella versione 5 1 ci si applica sol
24. e Standard TCP UDP e ICMP Non consente il filtro del tipo di porta o di messaggio si applica a tutte le porte e tipi di messaggio e GRE Generic Router Encapsulation Non consente ulteriore filtro GRE viene utilizzato dal protocollo PPTP per trasferire i dati nella propria connessione VPN e JPIP IP in IP Non consente ulteriore filtro Utilizzato da CheckPoint VPN 1 e ESP IPsec Encapsulation Security Payload Non consente ulteriore filtro Utilizzato dal protocollo IPsec nei casi in cui sono crittografate le connessioni VPN e AH IPsec Authentication Header Non consente ulteriore filtro Utilizzato dal protocollo IPsec nei casi in cui sono autenticate le connessioni VPN e IPComp IPsec Data Compression Non consente ulteriore filtro Utilizzato dal protocollo IPsec quando le connessioni VPN sono compresse e IPsec ESPe o AH Non consente ulteriore filtro e SKIP Simple Key Management Protocol for Internet Protocols Non consente ulteriore filtro Il protocollo VPN stato sviluppato originariamente da Sun Microsystems EnterNet FireWall Manager e L2TP Layer 2 Tunneling Protocol Non consente ulteriore filtro Utilizzato da Microsoft Windows per forzare il tunneling di tutto il traffico attraverso il protocollo IPsec e OSPF Open Shortest Path First Non consente ulteriore filtro Protocollo di instradamento utilizzato da vari router Sostituisce il RIP e IPProto Permette all utente di definire il
25. firewall e ridurre quindi il rischio di errori hardware Le unit disco su modulo consentono di semplificare le operazioni e garantiscono maggiore stabilit Inoltre sono abbastanza economiche e possono essere collegate direttamente ai socket IDE Per trasferire i file di avvio alle unit disco su modulo possibile connettere tali unit a un socket IDE nella workstation di amministrazione In alternativa possibile creare un disco floppy di avvio e inviare i file al disco su modulo della stessa macchina firewall 4 3 5 Schede di rete EnterNet FireWall contiene i driver integrati per le schede 3Com serie 3c905B C e per le interfacce di rete basate sui chip Ethernet DEC Intel 21x4x ad esempio DEC 21140 Queste ultime supportano schede di rete di vari fornitori tra i quali Accton Adaptec Cogent e D Link EnterNet FireWall supporta un massimo di 64 interfacce di rete simultanee in un sistema Nota i driver incorporati non supportano il modello originale 3c905 ma solo i modelli 3c905B e 3c905C ovvero gli unici in commercio da alcuni anni Per motivi di compatibilit con i sistemi esistenti EnterNet FireWall supporta anche tutti i tipi di schede di rete che presentano driver ODI a 16 bit come quelli utilizzati da Novell Netware I driver ODI per le schede 3Com 3c509 EtherLink III 3Com 3c905 Fast EtherLink 10 100 e Intel EtherExpress Pro 100 sono inclusi nel pacchetto software Hardware e prestazioni del firewall
26. gw myorganisation Database r Copy configuration file lt None gt Default ProxpARP DMZ DMZ MailFwd DNS Immettere I indirizzo IP dell interfaccia firewall pi vicina Questo corrispondera quasi sicuramente al gateway predefinito che verra utilizzato dalla rete protetta dopo l installazione del firewall FireWall Manager comunicher con il firewall tramite indirizzo IP appena specificato per le operazioni di controllo in remoto Tuttavia questa impostazione non influenzer le modalit di configurazione del firewall Assegnare un nome al firewall Si tratta di una procedura puramente simbolica che non ha alcun effetto diretto sul firewall Infine selezionare un modello di configurazione da copiare Se uno dei modelli di configurazioni disponibili soddisfa le proprie esigenze scegliendolo sar possibile semplificare e velocizzare le prime fasi del processo Per ulteriori informazioni su ciascun modello di configurazione consultare la sezione 8 5 Esempi di configurazione Scegliere OK per continuare Verr aggiunto cos un nuovo firewall al database di amministrazione Copiare il modello di configurazione selezionato e creare una nuova chiave di crittografia che verr utilizzata da FireWall Manager per la gestione remota del firewall 6 4 Operazioni preliminari A questo punto la finestra di dialogo si chiude e compare di nuovo la finestra principale che contiene il n
27. interno dello strumento di query Srcip Indirizzo IP sorgente Destip Indirizzo IP di destinazione Scrport Porta sorgente Destport Porta di destinazione Srcenet Indirizzo Ethernet sorgente Destenet Ethernet di destinazione Thl Lunghezza dell intestazione IP Idl Lunghezza dei dati IP Itl Lunghezza totale IP dati e intestazione Udl Lunghezza dei dati UDP Utl Lunghezza totale dei dati UDP Firewall Nome del firewall che ha inviato i dati Time L ora in cui avvenuto l evento Recviface Interfaccia di ricezione Destiface Interfaccia di destinazione Ttl Campo Time To Live nell intestazione IP date description arp arpdesthw arpsrchw ipproto icmptype icmpsrcip icmpdestip icmpsrcport icmpdestport icmpipproto tepflags enetproto usage connusage rule satsrcrule satdestrule origsent termsent conn Auditing da EnterNet Firewall La data in cui il pacchetto ha raggiunto il Firewall Logger Descrizione dell evento Tipo di pacchetto ARP Indirizzo hardware di destinazione negli eventi ARP Indirizzo hardware sorgente negli eventi ARP Protocollo IP Tipo ICMP IP sorgente in pacchetto IP incapsulato ICMP IP di destinazione in pacchetto IP incapsulato ICMP Porta sorgente di pacchetto UDP TCP incapsulato ICMP Porta di destinazione di pacchetto UDP TCP incapsulato ICMP Protocollo IP di pacchetto IP incapsulato ICMP Flag TCP Protocollo Ethernet Throughput dell interfaccia Statistich
28. l esecuzione del firewall e dei criteri da considerare durante la scelta dell hardware per raggiungere elevate prestazioni e affidabilit 4 2 Prestazioni del firewall difficile definire con precisione le prestazioni del firewall a causa delle diverse esigenze della struttura della rete e delle varianti nella distribuzione del tipo di protocollo Tuttavia sono disponibili alcuni sistemi di misura che semplificano questa procedura Larghezza di banda bps bit al secondo La misurazione della larghezza di banda consente di definire il numero di dati che un sistema in grado di trasmettere in un determinato lasso di tempo Flusso di pacchetti pps pacchetti al secondo La misurazione del flusso di pacchetti consente di definire il numero di pacchetti al secondo che un sistema in grado di trasmettere in un determinato lasso di tempo Latenza ms millisecondi La misurazione della latenza consente di definire il ritardo con il quale un pacchetto dati viene trasmesso dal sistema Hardware e prestazioni del firewall E possibile utilizzare tali sistemi di misurazione in un paio di test campione che insieme o da soli possono offrire una panoramica delle prestazioni di un determinato sistema firewall Prestazioni del software La funzione Core Software Performance indica le prestazioni del firewall software in un determinato dispositivo hardware In genere questo tipo di test viene eseguito creando un numero di
29. perdita di pacchetti Per questo motivo generalmente si cerca di comunicare senza ricorrere alla frammentazione Vedere File Transfer Protocol Full Duplex una modalit di traffico di rete In questa modalit il traffico pu viaggiare contemporaneamente nelle due direzioni Per operare in modalit Full Duplex i cavi devono collegare solamente due computer tra loro oppure un computer a uno switch In pratica questa modalit in confronto a Half Duplex raddoppia la reale capacit della larghezza di banda di una determinata connessione Altro termine per Router Viene utilizzato raramente per indicare un router se non in contesti specifici ad esempio il router X il gateway della rete Y Half Duplex una modalit di traffico di rete In questa modalit la comunicazione pu viaggiare solo in una direzione per volta Vedere anche Full Duplex Vedere HyperText Transfer Protocol Glossario 301 Hub Un hub il centro di una LAN che connette cavi Multiple Ethernet Twisted Pair Il traffico inviato a un hub viene inoltrato a tutti gli altri computer e hub ai quali connesso I computer collegati a un hub non possono utilizzare la comunicazione Full Duplex Vedere anche Switch HyperText HTTP stato utilizzato originariamente per richiedere Transfer lo scaricamento di file HTML dai server Web ma nel Protocol tempo si evoluto ed diventato un protocollo mediante il quale possibile trasferire file di
30. possibile selezionare il dispositivo da utilizzare per la scrittura dei supporti di avvio Verranno elencati tutti i dischi fissi o rimovibili disponibili Il dispositivo selezionato verr inoltre utilizzato durante la creazione di un disco di installazione NIC Il sistema Windows 9x supporta solo i floppy come dischi di avvio mentre con i sistemi NT possibile utilizzare qualsiasi tipo di supporto Tuttavia prima di scrivere i file di avvio sull apposito supporto necessario formattare il dispositivo con un formato del file system FAT 12 o FAT 16 EnterNet FireWall Manager Specify Management Datasources EnterNet FireWall Manager consente di utilizzare pi database di amministrazione di diversi tipi Tramite questa opzione possibile visualizzare una finestra di dialogo che consente di gestire le connessioni all origine dati come illustrato qui di seguito Storage specification xi m Storages Type Path DSN 4 Database ODBC PWList Add Dir Add ODBC Edit Remove Close Gestione delle connessioni amministrative all origine dati L elenco riporta le origini dati configurate correntemente con il relativo nome tipo ODBC o DIR e specifiche ovvero il percorso e il DSN Se all inizio della riga viene visualizzata un flag verde l origine dati abilitata Viceversa un flag rosso indica che l origine dati disattivata Selezionando i pulsanti Add Dir Add ODB
31. qualunque tipo e che in una certa misura supporta anche il caricamento di file Vedere anche F7P ICMP Vedere Internet Control Message Protocol IMAP Vedere Interactive Mail Access Protocol Interactive Mail Il protocollo IMAP come POP3 viene utilizzato per Access Protocol scaricare e mail da un server di posta e salvarle in una cassetta postale in un computer non connesso costantemente a Internet Il protocollo IMAP per offre maggiore controllo sulla posta che deve rimanere sul server consentendo di leggere le cassette postali da varie posizioni La versione attuale del protocollo IMAP attualmente la quattro da cui deriva l acronimo IMAP4 Vedere anche SMTP e POP3 Internet Control ICMP viene utilizzato per diagnosticare situazioni e Message problemi in una rete ad esempio Internet ICMP Protocol viene trasportato nell IP Viene comunemente utilizzato nelle macchine di Pinging per verificare la loro risposta Vedere anche JP Internet IP il protocollo utilizzato nella comunicazione via Protocol Internet Attualmente la versione utilizzata la 4 che supporta fino a quattro miliardi di indirizzi IP agisce da carrier per TCP UDP e ICMP e altri protocolli IP Vedere Internet Protocol IPv4 IPv6 IPsec ISP Internet Service Provider LAN Local Area Network Mbps MAC MAN Glossario IPv4 la versione di IP Internet Protocol correntemente in uso Vedere Internet Protocol IP
32. stata applicata alcuna priorit o bilanciamento dinamico Configurazione del traffico 10 2 1 2 Controllo bidirezionale della larghezza di banda La configurazione esaminata nel precedente esempio limita la larghezza di banda solo per il traffico in entrata Questa scelta stata dettata dal fatto che nella maggior parte delle configurazioni la direzione in entrata la prima a riempirsi Se si desidera limitare la larghezza di banda in entrambe le direzioni necessario applicare il limite di 256 kbps anche nella direzione di inoltro Vediamo come Inserire std in nella concatenazione di inoltro non sortisce alcun effetto o almeno non gli effetti voluti soprattutto se si desidera che i 256 kbps del traffico in uscita siano separati da quelli del traffico in entrata Questa soluzione non pu funzionare perch i pipe che sono estremamente semplici consentono il passaggio di soli 256 kbps di traffico Se si aggiunge il passaggio di 256 kbps di traffico in uscita ai 256 kbps di traffico in entrata si raggiunge un totale di 512 kbps Dal momento che il limite di 256 kbps si ottengono 128 kbps in entrambe le direzioni Tuttavia non possibile elevare semplicemente il limite totale a 512 kbps e sperare che funzioni Perch Bisogna ricordare che i pipe sono semplici Un pipe non in grado di comprendere che si desiderano 256 kbps in entrata e 256 kbps in uscita per cui si potrebbero ottenere 64 kbps in
33. tali campi dovrebbero leggere 0 Utilizzato dal fingerprinting del sistema operativo Impostazione predefinita DropLog StripDFOnSmall Sfoglia il flag Dont Fragment dei pacchetti che presentano una dimensione minore o uguale a quella specificata nell impostazione Impostazione predefinita 500 byte EnterNet FireWall Manager 7 3 2 2 Impostazioni di livello TCP TCPOptionSizes Verifica le dimensioni delle opzioni TCP Questa funzione corrisponde all opzione IPOptionSizes sopra descritta Impostazione predefinita ValidateLogBad TCPMSSMin Consente di specificare le dimensioni minime accettabili di TCP MSS I pacchetti che contengono segmenti con dimensioni massime inferiori al valore limite specificato vengono gestiti secondo la seguente impostazione Impostazione predefinita 100 byte TCPMSSOnLow Consente di stabilire l azione intrapresa sui pacchetti la cui opzione TCP MSS presenta valori inferiori a quelli minimi stipulati I valori troppo bassi potrebbero causare problemi negli stack TCP che includono pochi dati Impostazione predefinita DropLog TCPMSSMax Consente di specificare la massima dimensione TCP MSS accettabile I pacchetti che contengono segmenti le cui dimensioni massime superano questo limite vengono gestiti secondo la seguente impostazione Impostazione predefinita 1460 byte TCPMSSOnHigh Consente di stabilire l azione intrapresa sui pacchetti la cui opzione TCP MSS presenta valori s
34. 1038 gt 195 55 66 77 80 e Il firewall traduce l indirizzo in base alla regola 1 e inoltra il pacchetto in base alla regola 2 10 0 0 3 1038 gt 10 0 0 2 80 e Wwwsrv elabora il pacchetto e risponde 10 0 0 2 80 gt 10 0 0 3 1038 Questa risposta arriva direttamente al PC1 senza attraversare il firewall Ci pu causare alcuni problemi La ragione per cui non funzioner risiede nel fatto che il PC1 attende una risposta da 195 55 66 77 80 e non da 10 0 0 2 80 La risposta inattesa viene eliminata e il PC1 continua ad attendere una risposta da 195 55 66 77 80 che non arriver mai Con una piccola modifica al set di regole come descritto nel paragrafo 8 1 7 1 si potr risolvere il problema In questo esempio senza una ragione particolare si scelto di utilizzare l opzione 2 1 SAT ANY all nets ip_ext 32 All gt 80 SetDest wwwsrv 80 2 NAT int intnet all nets All gt All 3 Allow ANY all nets ip_ext 32 All gt 80 EnterNet FireWall 157 e Il PC1 invia un pacchetto a ip_ext per raggiungere www ourcompany com 10 0 0 3 1038 gt 195 55 66 77 80 e L indirizzo del firewall esegue la traduzione statica in base alla regola 1 mentre quella dinamica in base alla regola 2 10 0 0 1 32789 gt 10 0 0 2 80 e Wwwsrv elabora il pacchetto e risponde 10 0 0 2 80 gt 10 0 0 1 32789 e Larispostaarriva al firewall e vengono ripristinate entrambe le traduzioni dell indirizzo 195 5
35. 20 utenti pi attivi di un determinato pipe 166 EnterNet FireWall ReConfigure reco Legge nuovamente il file FWCore cfg dal disco Questo processo dura approssimativamente un secondo se seguito da disco floppy mentre circa un decimo di secondo se eseguito da disco rigido o disco flash Se sul disco esiste gia un file FWCore_N cfg file sara invece questo ad essere letto Tuttavia poich non c FireWall Manager che tenta di eseguire una comunicazione bidirezionale con il firewall la configurazione verra considerata errata e il firewall ritornera a FWCore cfg dopo che il timeout per la verifica della comunicazione bidirezionale scaduto generalmente 30 secondi Remotes rem Visualizza il contenuto della sezione di configurazione Remotes Routes r Visualizza il contenuto della sezione di configurazione Routes Rules ru Sintassi rules lt options gt lt range gt Mostra il contenuto della sezione di configurazione Rules Opzioni u Append usage information 1 Append logging information n Append symbolic rule names p Append pipe information a Append all the information above Il parametro di intervallo specifica le regole da includere nell output del comando Esempio rules 1 u 15 20 23 25 29 Scrsave scr Attiva o disattiva il salvaschermo incluso nel software del firewall EnterNet FireWall 167 Settings set Visualizza il contenuto della sezione di conf
36. 3 Finestra di configurazione 83 7 3 1 Menu File 86 7 3 2 Scheda Settings 87 7 3 3 Scheda Hosts 115 7 3 4 Scheda Nets 116 7 3 5 Scheda Pipes 117 7 3 6 Scheda Interfaces 120 7 3 7 Scheda ARP 121 7 3 8 Scheda Routes 123 7 3 9 Scheda Access 125 7 3 10 Scheda Rules 127 7 3 11 Scheda Loghosts 140 7 3 12 Scheda Remotes 141 7 4 Visualizzazione delle statistiche 142 7 4 1 Statistiche relative al firewall 143 7 4 2 Statistiche di utilizzo per le regole 143 7 4 3 Statistiche sui pipe 144 7 4 4 Statistiche per ciascuna interfaccia 146 8 __EnterNet FireWall 147 8 1 Traduzione degli indirizzi 147 8 1 1 Traduzione dinamica degli indirizzi di rete 148 8 1 2 Quali protocolli pu elaborare la regola NAT Hide 148 8 1 3 Perch NAT Hide modifica la porta di origine 149 8 1 4 Traduzione di intervalli di indirizzi e di porte 150 8 1 5 Quale delle regole SAT viene eseguita se il firewall trova pi corrispondenze 151 8 1 6 Quali protocolli possono essere gestiti dalla funzione SAT 152 8 1 7 Esempi di traduzione degli indirizzi 153 8 2 Console del firewall 159 8 2 1 Barra di stato della console 160 8 2 2 Comandi della console 161 8 3 Supporti di avvio di EnterNet FireWall 168 8 4 Considerazioni generali prima della configurazione 170 EnterNet FireWall 5 8 5 Esempi di configurazione 171 8 5 1 Esempio 1 Default 172 8 5 2 Esempio 2 Default ProxyARP 181 8 5 3 Esempio 3 DMZ 182 8 5 4 Esempio 4 DMZ MailFwd DNS 195 8 5 5 Esempio 5 DMZ ProxyARP 2
37. ANY all nets ip_ext 32 TCP ALL gt 113 10 Drop ANY all nets all nets All LOG Le regole 9 e 10 non sono in relazione diretta con la protezione Il traffico che non soddisfa nessuna delle regole incluse nel set viene sempre scartato senza essere registrato per questo motivo che conviene aggiungere una regola finale che oltre a scartare il traffico lo registra 180 EnterNet FireWall La regola 9 necessaria poich molti server FTP in Internet eseguono tentativi di apertura di connessioni verso il mittente quando vi si accede La porta 113 stata ideata per ident daemon che nei sistemi Unix consente al server di determinare l utente locale che tenta la connessione Se in questa posizione non presente una regola Reject tali server possono ritardare la connessione fino ad un minuto nel tentativo di aprire una connessione verso la porta 113 La regola Reject predispone il firewall per la restituzione di un messaggio TCP RESET per notificare immediatamente al server che la connessione alla porta 113 non sar possibile e la procedura di accesso proseguir senza ritardi Commenti sulla configurazione e Si sconsiglia di posizionare i server Web e di posta nella rete interna accessibile pubblicamente Si tratta di parti software molto complesse e di conseguenza presentano numerosi problemi di sicurezza Un ottima alternativa quella di posizionare il server Web e un sistema di instradamento della p
38. Descrizione della sezione ARP 1 Publish mailsrv pub 2 Publish wwwsrv pub Queste due righe della sezione ARP consentono al router esterno di trovare gli indirizzi pubblici dei server Web e di posta nel caso in cui sia necessario modificarli in qualcosa di diverso dall indirizzo IP esterno del firewall In questa configurazione si presuppone sempre che questi due indirizzi appartengano alla rete tra il router esterno e il firewall Descrizione della sezione Access La sezione Access consente di verificare che gli indirizzi del mittente ricevuti su ciascuna interfaccia corrispondano a quelli attesi dal firewall In questa configurazione quindi ci si aspetta che gli indirizzi interni provengano dall interno e che quelli esterni provengano dall esterno Vengono inoltre bloccati alcuni indirizzi di mittenti non validi 1 Drop ANY 0 0 0 0 8 La regola 1 consente di bloccare gli indirizzi di mittenti da 0 0 0 0 a 0 255 255 255 indipendentemente dall origine La rete non valida e non si desidera ricevere pacchetti provenienti da essa 2 Drop ANY 127 0 0 0 8 La regola 2 consente di bloccare gli indirizzi di mittenti da 127 0 0 0 a 127 255 255 255 indipendentemente dall origine La rete include l host locale 127 0 0 1 indirizzo che corrisponde sempre al computer locale Non ci si aspetta che tali indirizzi siano visibili in rete e quindi vengono considerati non validi
39. Incoming Firewall di packets Ruleset EnterNet FireWall in grado di gestire contemporaneamente centinaia di pipe ma in realt la maggior parte delle configurazioni ne richiede solo pochi L unico caso in cui possono risultare necessari molti pipe sono i contesti in cui vengono creati pipe individuali per ciascun servizio protocollo o client nei casi ISP Configurazione del traffico 10 2 1 1 Gestione della larghezza di banda L utilizzo pi comune del pipe la creazione di controlli della larghezza di banda Si tratta inoltre dell unico contesto in cui non necessaria una pianificazione particolarmente complessa Nel primo esempio che segue viene applicato un limite di larghezza di banda in una sola direzione ovvero quella del traffico in entrata che generalmente crea i maggiori problemi in una connessione a Internet Si consideri la creazione di un pipe con le seguenti caratteristiche Name Min Def Max Grouping Net Total Limits Per User Limits Dyn Comments 1 0 0 None Total 256Kb 0 0 In questo modo viene creato un pipe molto semplice che limita tutto il Tce Tota lane traffico che lo attraversa a 256 kilobit Boe Miss e per secondo indipendentemente dal ED nm tipo di traffico gt Em mm I limiti basati sulla priorit verranno _ Mum trattati in seguito Per il momento tutto se oo il traffico che attraversa il pipe viene _ Mem limitato a 256 kbps _ Mim
40. Intervalli di indirizzi IP EnterNet FireWall utilizza intervalli di indirizzi come definizione di rete predefinita Tali intervalli vengono scritti nella forma a b c d e f g h Gli intervalli degli indirizzi non sono limitati dalla netmask ma possono anche includere qualsiasi estensione di indirizzi IP Ad esempio una rete di server Web costituito da quattro server Web pu essere definito come l intervallo di indirizzo 192 168 124 45 192 168 124 48 Operazioni preliminari CIDR Classless Inter Domain Routing La funzione CIDR utilizza una barra e un numero compreso tra 0 e 32 per indicare la dimensione della rete maschera 24 corrisponde a una rete di classe C con 256 indirizzi maschera 255 255 255 0 27 corrisponde a una rete a 32 indirizzi maschera 255 255 255 224 I numeri tra 0 e 32 corrispondono al numero di cifre binarie nella maschera Numero di rete e netmask Naturalmente possibile definire le reti IP utilizzando un numero di rete e una maschera 192 168 123 0 255 255 255 0 6 4 2 Indirizzi IP locali La sezione Hosts contiene nomi simbolici per gi indirizzi IP In questo modo possibile utilizzare 1 nomi degli indirizzi IP al posto dei numeri nelle sezioni successive Quindi se si desidera modificare un indirizzo sara necessario eseguire tale operazione solo in questa sezione Questa procedura migliora la leggibilita della configurazione e semplifica la comprensione del resto della configura
41. Questi indirizzi vengono forniti principalmente dal provider di servizi Internet ISP Internet Service Provider EnterNet FireWall 185 5 ip_dmz 192 168 234 1 6 br_dmz 192 168 234 255 Modificare in base alle istruzioni precedenti Queste impostazioni si applicano solo all interfaccia DMZ del firewall 7 gw world 194 1 2 1 Questo l indirizzo del router pi esterno e nella maggior parte dei casi viene fornito dal provider di servizi Internet ISP Internet Service Provider 8 loghost 0 0 0 0 Dopo avere installato EnterNet FireWall Logger o un daemon syslog di terze parti digitarne l indirizzo in questa posizione L indirizzo viene utilizzato nella sezione Loghosts perch il firewall disponga delle informazioni per l invio dei dati di log Se si utilizza un destinatario syslog al posto di FireWall Logger sar necessario modificare il tipo di loghost nella sezione Loghosts 9 wwwsrv priv 0 0 0 0 10 mailsrv priv 0 0 0 0 Se si dispone di server Web o di posta con indirizzi privati che si desidera rendere accessibili pubblicamente digitarne l indirizzo in questa posizione possibile ovviamente specificare un unico indirizzo per entrambi i servizi se questi sono installati sullo stesso server Questi indirizzi vengono utilizzati dalle regole SAT nella sezione Rules per implementare la traduzione statica degli indirizzi ri
42. TCP IP 273 11 2 Numeri di porta utilizzati comunemente Le informazioni sono tratte dal sito all indirizzo http www isi edu in notes iana assignments port numbers che rappresenta la fonte pi aggiornata di numeri di porta registrati L elenco che segue ha dimensioni dieci volte inferiori rispetto all elenco originale Sono stati aggiunti alcuni protocolli anche se non registrati echo 7 tcp Echo echo 7 udp Echo discard 9 tcp Discard Sink discard 9 udp Discard Sink systat 11 tcp Active Users systat 11 udp Active Users daytime 13 tcp Daytime daytime 13 udp Daytime qotd 17 tcp Quote of the Day qotd 17 udp Quote of the Day chargen 19 tcp Character Generator chargen 19 udp Character Generator ftp data 20 tcp File Transfer Default Data ftp data 20 udp File Transfer Default Data ftp 21 tcp File Transfer Control ftp 21 udp File Transfer Control ssh 22 tcp Secure Shell ssh 22 udp Secure Shell telnet 23 tcp Telnet telnet 23 udp Telnet smtp 25 tcp Simple Mail Transfer 274 Internet e TCP IP smtp time time nicname nicname auditd auditd login login domain domain sql net sql net bootps bootps bootpc bootpc tftp tftp gopher gopher finger finger www http www http objcall objcall hostname hostname 25 udp 37 tcp 37 udp 43 tcp 43 udp 48 tcp 48 udp 49 tcp 49 udp 53 tcp 53 udp 66 tcp 66 udp 67 tcp 67 udp 68 tcp 68 udp 69 tcp 69 udp 70 tcp 70 udp 79 tcp
43. Unix Listserv hp collector 381 tcp hp performance data collector hp collector 381 udp hp performance data collector hp managed 382 tcp hp performance data managed node node hp managed 382 udp hp performance data managed node node hp alarm mgr 383 tcp hp performance data alarm manager hp alarm mgr 383 udp hp performance data alarm manager ibm app 385 tcp IBM Application ibm app 385 tcp IBM Application aurp 387 tcp Appletalk Update Based Routing Prot aurp 387 udp Appletalk Update Based Routing Prot Idap 389 tcp Lightweight Directory Access Protocol Idap 389 udp Lightweight Directory Access Protocol synoptics 391 tcp SynOptics SNMP Relay Port relay synoptics 391 udp SynOptics SNMP Relay Port relay synoptics 392 tcp SynOptics Port Broker Port broker synoptics 392 udp SynOptics Port Broker Port broker netware ip 396 tcp Novell Netware over IP Internet e TCP IP 279 netware ip 396 udp Novell Netware over IP ups 401 tcp Uninterruptible Power Supply ups 401 udp Uninterruptible Power Supply genie 402 tcp Genie Protocol genie 402 udp Genie Protocol prm sm 408 tcp Prospero Resource Manager Sys Man prm sm 408 udp Prospero Resource Manager Sys Man prm nm 409 tcp Prospero Resource Manager Node Man prm nm 409 udp Prospero Resource Manager Node Man synoptics trap 412 tcp Trap Convention Port synoptics trap 412 udp Trap Convention Port mobileip agent 434 tcp MobileIP Agent mobileip agent 434 udp
44. a determinati fattori quali l indirizzo del mittente e del destinatario il protocollo e le porte utilizzate In questo modo possibile installare su reti protette applicazioni non troppo sicure evitando per l accesso a utenti non autorizzati Introduzione alla protezione di rete 2 5 Quasi tutti i firewall incluso EnterNet FireWall garantiscono comunicazioni compatibili con le specifiche dei protocolli attuali Questo per evitare l accesso di dati imprevisti che potrebbero provocare l arresto o il crash dei software client e di server protetti sui quali sono stati installati servizi non protetti In conclusione il firewall la risposta della rete ai sistemi host poco protetti Quali sono i limiti del firewall La sicurezza non viene garantita solo mediante l utilizzo di firewall Anche se l inserimento di un firewall rappresenta il primo passo indispensabile per la protezione di reti e computer Questa sezione non dedicata specificamente a EnterNet FireWall bens ai firewall in generale Infatti i problemi che verranno descritti riguardano tutti i firewall I firewall vengono erroneamente considerati come l unico mezzo necessario a garantire la sicurezza di una comunicazione Falso Molti responsabili marketing e commerciali affermano sorridendo che i firewall da loro offerti sono in grado di proteggere le reti da qualsiasi cosa Si spera che si tratti di una questione di mera ignoranza da parte lo
45. autorizzato a passare Al contrario se il pacchetto soddisfa una regola Drop o Reject questo viene eliminato Il vantaggio consiste nel fatto che se ad esempio viene utilizzata una regola SAT per consentire il traffico verso un server in una zona demilitarizzata con un indirizzo privato sar ancora necessario effettuare una distinzione tra le connessioni originate internamente ed esternamente Le connessioni originate esternamente vengono generalmente autorizzate da una regola Allow mentre quelle originate internamente sono spesso autorizzate dalle regole NAT in modo da nascondere la struttura interna della rete ai server nella zona demilitarizzata La registrazione della regola SAT viene eseguita solo se stata attivata nella regola finale FwdFast Allow o NAT EnterNet FireWall Manager 7 3 10 2 Colonna Protocol La colonna Protocol nella sezione Rules specifica a quale protocollo IP si applica la regola Il protocollo scelto influisce sull aspetto della finestra di dialogo Ports Params che viene attivata facendo clic nella colonna accanto alla colonna Protocol Vengono definiti i seguenti protocolli IP e TCP Transmission Control Protocol Consente il filtro sulle porte del mittente e della destinazione da 0 a 65535 e UDP User Datagram Protocol Consente il filtro sulle porte del mittente e della destinazione da 0 a 65535 e ICMP Internet Control Message Protocol Consente di filtrare i tipi di messaggio ICMP
46. che se il raggruppamento viene effettuato ad esempio sull indirizzo IP il firewall pu limitare e garantire la larghezza di banda in base all indirizzo IP che comunica attraverso il pipe Anche nei gruppi utenti possibile applicare precedenze possibile limitare la larghezza di banda sia in base alla precedenza che per ciascun gruppo intero Configurazione del traffico G gt In molti casi i gruppi verranno definiti utenti sia che il gruppo rappresenti una persona fisica una connessione sola o un intera rete di classe C Il controllo della larghezza di banda viene dapprima applicato ad ogni singolo utente e quindi all intero pipe Il disegno qui di seguito illustra un pipe nel quale stato abilitato il raggruppamento 192 168 123 5 1 N u D k N x Esempio di pipe con traffico in precedenza 4 raggruppato in base all indirizzo IP Configurazione del traffico 10 2 3 1 Applicazione di limiti e garanzie in base a ogni singolo utente Dopo aver raggruppato gli utenti di un pipe si possono inserire limitazioni di banda sia garantirla a ciascun utente cos come vengono applicate all intero pipe Per ampliare l esempio precedente possibile limitare la quantit di larghezza di banda che ciascun utente interno riceve per il traffico SSH in entrata In questo modo si evita che un singolo utente esaurisca tutta la larghezza di banda ad elevata priorit disponibile
47. che soddisfa le regole 1 e 3 verr quindi inviato a wwwsrv Quasi corretto i pacchetti arriveranno a Wwwsrv e Il traffico di ritorno da wwwsrv 80 alle macchine interne verr inviato direttamente alle macchine stesse Questo non funzioner in quanto i pacchetti saranno interpretati come provenienti dall indirizzo sbagliato Ora si prover a spostare la regola NAT fra le regole SAT e FwdFast 1 SAT ANY all nets ip_ext 32 All gt 80 SetDest wwwsrv 80 2 SAT int wwwsrv 32 all nets 80 gt All SetSrc ip_ext 80 3 NAT int intnet all nets All gt All 4 FwdFast ANY all nets ip_ext 32 All gt 80 5 FwdFast int wwwsrv 32 all nets 80 gt All Conseguenze e Il traffico esterno verso ip_ext 80 che soddisfa le regole 1 e 4 verr quindi inviato a wwwsrv Corretto e Iltraffico di ritorno da wwwsrv 80 soddisfa le regole 2 e 3 Sulle risposte verr quindi eseguita la traduzione dinamica dell indirizzo Ci modificher la porta di origine in una porta completamente diversa che non funzioner Il problema pu essere risolto utilizzando il seguente set di regole 1 SAT ANY all nets ip_ext 32 All gt 80 SetDest wwwsrv 80 2 SAT int wwwsrv 32 all nets 80 gt All SetSrc ip_ext 80 3 FwdFast int wwwsrv 32 all nets 80 gt All 4 NAT int intnet all nets All gt All EnterNet FireWall 159 5 FwdFast ANY all nets
48. concatenazioni per la creazione di limiti differenziati Negli esempi precedenti stato applicato un limite di traffico statico per tutte le connessioni in uscita Se si desidera limitare maggiormente l esplorazione del Web rispetto al resto del traffico necessario configurare due pipe surf uno in entrata ed uno in uscita Tuttavia probabile che i traffico in uscita non debba essere limitato in maniera consistente dal momento che l esplorazione consiste generalmente di brevi richieste in uscita seguite da lunghe risposte in entrata Si proceda quindi alla creazione di un solo pipe speciale surf per il traffico in entrata Max 7 jo None Total Limits PerUser Limits Comments Total 256Kb Total 256Kb Total 128Kb Grouping Net Dyn None None Una volta definito il pipe necessario configurare un insieme di regole relative all esplorazione e porle prima della regola relativa a tutto il resto del traffico In questo modo possibile consentire il passaggio del traffico di esplorazione attraverso i pipe desiderati ma lasciare che tutto il resto del traffico venga gestito dai pipe pioli creati in precedenza Source Net Dest If Dest Net Ports Params Atom Fd sto pe basaa et Jo at one fee tees le a i Copiare le impostazioni della concatenazione di inoltro dalla regola relativa a tutti 1 protocolli S
49. corrisponde il pacchetto viene accettato in un modo simile all azione Accept Non viene eseguita alcuna registrazione Se l interfaccia non corrisponde il pacchetto viene rilasciato nello stesso modo dell azione Drop La registrazione viene eseguita se attivata nella colonna Log Per ulteriori informazioni sull ordine in cui vengono esaminate le diverse regole e impostazioni consultare il diagramma di flusso di EnterNet FireWall alla fine del capitolo 8 EnterNet FireWall Manager 7 3 10 Scheda Rules E Configuration of gw myorganisation 192 168 123 1 Settings Hosts Nets Pipes Interfaces ARP Routes Access Bules Loghosts Remotes Name Action Pipes Log Src Iface Source Net Dest Iface Dest Net Proto Ports Params Comments 1 Dop o any alnets ANY altnets UDP ALL gt 137 Drop NetBIOS name a Drop M ANY al nets ANY altnets Ports ALL gt 135 139 Drop and log all othe 3 Drop E Jane allnets Ports gt 445 Dop and log all NetE z m law ron me ha all nets ANY La scheda Rules contiene la parte centrale di EnterNet FireWall il set di regole In questa sezione ciascun pacchetto ricevuto viene confrontato con le regole riga dopo riga finch i valori non trovano corrispondenza nei parametri Source Net Dest Net Protocol e Ports Params Dopo aver trovato una regola corrispondente viene eseguita l azione Eccezione r
50. di circa 1 2 Gbps in modalit burst Tuttavia durante l invio o la ricezione di pacchetti di rete che contengono parti di dati la velocit massima effettiva corrisponde a 600 Mbps Infatti per l elaborazione di ogni pacchetto dati da parte del firewall sono necessari almeno due insiemi di cicli PCI uno per la lettura dall interfaccia di rete in ingresso e uno per la scrittura sull interfaccia in uscita A Hardware e prestazioni del firewall Quindi la larghezza di banda effettiva che passa attraverso il firewall presenta una velocit pari alla met di quella del bus PCI Nel caso di un bus a 32 bit con frequenza di 33 MHz la larghezza di banda massima sar di circa 300 Mbps E comunque possibile utilizzare le seguenti configurazioni hardware e Utilizzare un bus PCI con frequenza e ampiezza di dati elevate ad esempio a 64 bit e 66 MHz Questo consentir di quadruplicare la velocit Tuttavia per garantire un aumento delle prestazioni necessario che anche gli altri componenti del sistema ad esempio i bus degli indirizzi e dei dati tra la CPU la memoria e il controller PCI siano appositamente progettate per le alte velocit e Utilizzare una scheda madre con bus PCI singoli e doppi I bus singoli lavorano indipendentemente l uno dall altro Posizionando le interfacce di rete in modo da distribuire equamente il relativo carico tra i due bus PCI sar possibile in teoria raddoppiare le prestazioni Molt
51. di funzionare in EnterNet FireWall mediante traduzione dinamica degli indirizzi necessario utilizzare FTP in Passive Mode Internet Explorer 5 utilizza Active Mode solo se viene configurato per visualizzare FTP come disco rigido locale Se per viene impostato su Show FTP as a web page utilizza FTP in Passive Mode impossibile dire perch ci accada dal momento che non esiste un motivo per cui Internet Explorer passi da una modalit all altra in questo modo Desidero utilizzare NAT dinamico per nascondere i miei indirizzi Che intervalli di indirizzi privati posso utilizzare possibile utilizzare tre diverse aree nell estensione dell indirizzo IP per gli indirizzi privati 10 0 0 0 10 255 255 255 16 milioni di indirizzi 172 16 0 0 172 31 255 255 16 x 65536 indirizzi 192 168 0 0 192 168 255 255 256 x 256 indirizzi Molte voci infondate sostengono che possibile utilizzare anche altre reti Falso Le tre reti indicate sono le uniche che devono venire utilizzate se non si vogliono avere problemi imprevisti lungo la linea Consultare RFC1918 Address Allocation for Private Internets allocazione indirizzi privati per Internet Che conseguenze comporta l utilizzo di indirizzi privati in una rete protetta di propriet di terzi Nella migliore delle ipotesi niente Dal momento che la maggior parte degli utenti decide di implementare la traduzione dinamica degli indirizzi delle loro reti protette il traffi
52. di posta mailsrv priv con la porta 25 accessibile da un indirizzo pubblico mailsrv pub Nelle opzioni predefinite l indirizzo viene impostato come equivalente all indirizzo IP esterno del firewall e Un server DNS dnssrv priv con la porta 53 accessibile tramite un indirizzo pubblico dnssrv pub Nelle opzioni predefinite l indirizzo viene impostato come equivalente all indirizzo IP esterno del firewall Descrizione della sezione Hosts 1 fip_int 192 168 123 1 2 br_int 192 168 123 255 necessario sostituire l indirizzo ip_int con l IP relativo all interfaccia interna del firewall Sostituire l indirizzo br_int con l indirizzo broadcast della rete interna L indirizzo broadcast il pi alto della rete Gli indirizzi ip_int e br_int vengono utilizzati nella sezione Interfaces per configurare l interfaccia int 3 ip_ext 194 1 2 2 4 br_ext 194 1 2 255 Apportare le modifiche descritte nelle istruzioni precedenti che verranno applicate all interfaccia esterna del firewall Questi indirizzi vengono forniti principalmente dal provider di servizi Internet ISP Internet Service Provider 5 ip_dmz 192 168 234 1 6 br_dmz 192 168 234 255 Modificare in base alle istruzioni precedenti Queste impostazioni si applicano solo all interfaccia DMZ del firewall 198 EnterNet FireWall 7 gw world 194 1 2 1 Questo l indirizzo del router pi esterno e nella
53. di tradurre gli indirizzi non pubblicati sul firewall a condizione che il traffico verso questi indirizzi non venga instradato attraverso il firewall La funzione SAT pu essere utilizzata per l accesso da Internet ai server interni che includono indirizzi privati oppure per effettuare una traduzione dell indirizzo temporanea durante il trasferimento di un host Coerenza dei pacchetti Tutti i pacchetti che raggiungono il firewall sono soggetti a una serie di test strutturali relativi alle dimensioni dell intestazione alle opzioni alla frammentazione e ai flag Tali test consentono di proteggere la rete dagli attacchi a livello di trasporto di tipo Denial of service ad esempio WinNuke Teardrop Boink Land Nestea e relative variazioni Struttura simmetrica EnterNet FireWall completamente simmetrico Ci significa che il firewall non richiede la connessione di tutte le interfacce a un sistema interno esterno o di altro tipo Pertanto pu essere utilizzato per collegare organizzazioni o uffici che non sono in rapporti confidenziali oppure per proteggere un azienda da attacchi Internet EnterNet FireWall 25 Nascondere le informazioni Un aspetto importante della sicurezza di una rete di nascondere il maggior numero di informazioni possibili sulla rete protetta ad esempio tramite la traduzione degli indirizzi Tuttavia sarebbe molto importante coprire anche i dati relativi al sistema operativ
54. di traffico pu verificarsi un sovraccarico della connessione e la gestione del traffico in questo caso non pu intervenire Naturalmente impedisce ai pacchetti estranei di raggiungere i computer situati dietro al gestore del traffico ma non pu proteggere la connessione e se questa viene intasata il pirata informatico ha vinto Alcuni provider di servizi Internet consentono il co posizionamento perci se l intasamento diventa un rischio concreto pu essere necessario prendere in considerazione la possibilit di posizionare la gestione del traffico nell estremit Internet della connessione Per garantire la larghezza di banda necessario conoscere sempre la larghezza di banda disponibile Affinch la gestione del traffico funzioni correttamente necessario conoscere la larghezza di banda che attraversa il punto di congestione che si deve proteggere Se si condivide la connessione Internet con altri utenti o server che non vengono controllati dal firewall praticamente impossibile garantire ordinare in base alla priorit o bilanciare la larghezza di banda dal momento che il firewall non in grado di rilevare la larghezza di banda disponibile per la propria rete Naturalmente il semplice limite della larghezza di banda funzioner a differenza della banda garantita delle priorit e del bilanciamento dinamico Attenzione alle dispersioni Se si decide di proteggere e gestire il traffico di un collo di bottigli
55. directory che contiene il file eseguibile di Firewall Logger in modo che solo gli utenti autorizzati possano avere accesso ai file in essa contenuti 9 2 2 Configurazione di EnterNet FireWall Logger La configurazione di FireWall Logger viene effettuata mediante EnterNet FireWall Manager Tutte le impostazioni di configurazione vengono salvate in un file denominato fwlogger cfg che risiede nella directory di installazione di FireWall Logger Il file viene generato automaticamente con impostazioni predefinite al momento dell installazione di FireWall Logger ma in seguito dovr essere configurato utilizzando EnterNet FireWall Manager _ Auditing da EnterNet Firewall Il file non deve essere modificato manualmente 9 2 2 1 Collegamento a FireWall Logger Avviare EnterNet FireWall Manager Dalla barra dei menu selezionare Log e quindi Manage Log Receivers In questo modo si apre una finestra di dialogo da utilizzare per effettuare il collegamento alla gestione di un numero qualsiasi di FireWall Logger Inizialmente I elenco Connected Receivers sar vuoto Scegliere il pulsante Attach riti Digitare un nome simbolico FwLogger LOGSRC FWLogger per il nuovo FireWall Logger nel campo Name della finestra di dialogo Attach Configure Receiver Close i Detach Il percorso digitato nel campo Path viene utilizzato da FireWall Manager per individuare la directory di installazione di FireWall
56. essere distribuiti a societa e utenti privati sono principalmente richiesti larghezza di banda disponibilita e controllo del traffico Questo esempio illustra l uso di EnterNet FireWall in uno scenario in cui il firewall non solo protegge numerosi utenti ma consente anche di limitare o garantire la larghezza di banda a ciascun cliente nonch di analizzare l utilizzo della rete 32 EnterNet FireWall 3 5 Modello di licenza di EnterNet FireWall 3 5 1 Modello di licenza Queste sezioni includono una breve panoramica sul modello di licenza di EnterNet FireWall 3 5 1 1 Licenza Per ogni firewall utilizzato necessario collegare un apposita chiave hardware alla porta parallela Altrimenti il firewall funzioner solo in modalit demo e sar necessario riavviarlo ogni due ore Ciascuna chiave corrisponde a una licenza per I utilizzo di una copia di EnterNet FireWall 3 5 1 2 Utenti EnterNet FireWall viene concesso in licenza in base al numero di utenti che dovranno utilizzarlo Per utente si intende il numero di computer workstation server o altri dispositivi di rete che utilizzano il protocollo TCP IP installati sulle reti appositamente configurate per comunicare attraverso il firewall 3 5 1 3 Numero di licenza Ogni prodotto EnterNet munito di un solo numero di licenza che riportato sul Certificato di autenticit incluso nella confezione Il numero di licenza consente di registrare il nuovo p
57. fa riferimento ad altri indirizzi In genere controproducente utilizzare pi gateway predefiniti Quindi si consiglia di rimuovere il secondo gateway predefinito a meno che non ci sia una buona ragione per mantenerlo e Ricontrollare nel firewall e negli host che presentano problemi tutte le definizioni e le netmask Il firewall continua a non funzionare Se nessuna delle istruzioni precedenti dovesse avere effetto controllare le statistiche di tutte le interfacce tramite la funzione ifstat Digitare i seguenti comandi nella console del firewall ifstat int ifstat ext Verr visualizzato un numero di contatori per ogni interfaccia di rete Se i contatori Input della sezione Hardware non sono in aumento molto probabile che l errore sia da attribuire ai cavi o alle impostazioni della scheda La scheda potrebbe essere avere un guasto Oppure probabile che i pacchetti non vengano inviati al firewall opportuno verificare quest ultima eventualit collegando uno sniffer di pacchetti alla rete in questione Se i contatori Input della sezione Hardware sono in aumento mentre i corrispondenti contatori nella sezione Software diminuiscono molto probabile che l errore sia da attribuire alle impostazioni del driver I numeri del bus dello slot della porta o IRQ potrebbero non essere corretti oppure possibile che la scheda non sia compatibile con il driver utilizzato Accertarsi di utilizzare i driver ODI pi
58. filtri e limitazioni in maniera estremamente complessa Garanzie di traffico Grazie a una configurazione di pipe corretta possibile utilizzare la modellazione del traffico in EnterNet FireWall per garantire la larghezza di banda e quindi la qualit per il traffico che attraversa il firewall Integrazione IPsec Se si utilizza il modulo opzionale VPN IPsec nel firewall possibile configurare larghezza di banda e priorit per i tunnel VPN e per le regole comuni del firewall Configurazione del traffico 10 2 Configurazione del traffico su Enternet FireWall Le operazioni di misurazione limitazione garanzia e bilanciamento vengono eseguite nei pipe Un pipe in s per non ha alcun significato se non viene attivato nella sezione Rules Ciascuna regola pu consentire il passaggio di traffico attraverso uno o pi pipe in base a una determinata precedenza priorit Per configurare il traffico necessario effettuare i seguenti passaggi e Pianificarei requisiti di traffic shaping probabile che il processo di configurazione risulti non particolarmente chiaro se non si a conoscenza di come limitare ordinare in base a priorit garantire o distribuire il traffico e Nella sezione Pipes configurare i pipe che descrivono le diverse classi di traffico e Nella sezione Rules assegnare tipi specifici di comunicazione ai vari pipe Ci potrebbe portare ad un aumento dell insieme di regole probabile che una
59. in quanto soddisfa i requisiti per quella comunicazione 154 EnterNet FireWall Da una prospettiva interna tutte le macchine nella zona demilitarizzata devono essere considerate come un qualsiasi altro server collegato a Internet questa la ragione per cui all inizio tali macchine vengono collocate in una zona demilitarizzata Esistono due soluzioni possibili 1 Cambiare la regola 2 in modo che venga applicata solo al traffico esterno 2 Sostituire la regola 2 con la 3 in modo che la regola NAT venga eseguita per il traffico interno prima che sia applicata la regola Allow Quale di queste due opzioni la migliore Per questo tipo di configurazione del tutto indifferente Entrambe le soluzioni funzionano benissimo Tuttavia si supponga di aggiungere un altra interfaccia al firewall e di collegarla a un altra rete ad esempio quella di una filiale in modo tale da poter comunicare pi rapidamente con i server centrali Questa viene definita l interfaccia ext2 Se stata selezionata l opzione 1 necessario adeguare il set di regole come segue SAT ANY all nets ip_ext 32 All gt 80 SetDest wwwsrv 80 Allow ext all nets ip_ext 32 All gt 80 Allow ext2 ext2net ip_ext 32 All gt 80 ALO NAT int intnet all nets All gt All Questo aumenta il numero di regole per ciascuna interfaccia a cui permesso comunicare con il server Web Tuttavia esse
60. in questo modo infatti le politiche di protezione adottate potranno funzionare 2 5 3 Attacchi alle reti guidati dai dati Generalmente un firewall in grado di proteggere un sistema da attacchi guidati dai dati solo in circostanze speciali Tali attacchi includono e pagine HTML contenenti dati Javascript o Java che attaccano la rete dall interno dopo che la pagina viene visualizzata in un browser o in un programma di posta elettronica L unica protezione possibile da questo tipo di attacchi a parte la compilazione di un programma migliore consiste nel disabilitare questi servizi oppure nell autorizzare le connessioni Internet solo ai computer che gestiscono informazioni poco importanti e pagine HTML che fanno riferimento al contenuto dei file locali aperti senza script Spesso insospettabili utenti locali vengono attirati a loro insaputa a selezionare un pulsante della pagina e il file a essa collegato viene immediatamente inviato a un server Internet sconosciuto e documenti inoltrati per posta elettronica contenenti script pericolosi che vengono attivati dopo l apertura del documento Per proteggere il sistema da questi attacchi necessario evitare l utilizzo dei programmi di posta elettronica basati su browser oppure disabilitare lo scripting e introdurre gateway di posta in grado di bloccare gli script e qualsiasi altro tipo di codice eseguibile Introduzione alla protezione di rete e sovraccarico
61. interfacce loopback interfacce software all interno della configurazione firewall e facendo quindi eseguire un loop nel software firewall al traffico di rete generato automaticamente Approssimativamente il software di EnterNet FireWall raggiunge una larghezza di banda di circa 4 Gbps su un processore Intel Pentium III da 733 MHz Tramite il test Core Software Performance quindi possibile stabilire la velocit del programma ma non il livello esatto di prestazioni di un firewall Per questo motivo necessario eseguire un test che coinvolga le componenti hardware di rete Velocit di trasmissione La funzione Raw Network Throughput consente di eseguire test campione sul traffico di rete fisico Il test viene effettuato collegando tra loro le interfacce del firewall e quindi lasciando eseguire un loop nel sistema al traffico di rete generato automaticamente che presenta la massima dimensione di pacchetto Questa configurazione da un idea delle reali capacit di trasmissione dati del firewall Se per alle dimensioni del pacchetto si unisce l apertura e la chiusura di numerose connessioni il numero riportato sar inferiore comunque difficile stabilire una combinazione ideale e i risultati derivanti dall esecuzione di due test sarebbero immancabilmente diversi In questo senso la velocit effettiva della rete risulta migliore quando si valutano le prestazioni di un sistema poich il numero di dati emesso sar sempr
62. l impostazione Only established relativa al traffico di ritorno EnterNet FireWall 171 e Il filtro dell interfaccia di destinazione nella sezione Rules si applica solo alle ricerche dei percorsi eseguite prima che il pacchetto entri nel set di regole La traduzione dell indirizzo non viene presa in considerazione L unico fattore decisivo nel calcolo dell interfaccia di destinazione la tabella di instradamento 8 5 Esempi di configurazione In questa sezione vengono illustrati vari esempi di configurazione che possibile trovare in FireWall Manager come modelli gi preinstallati Esempio 1 Default Questa configurazione di base che utilizza due interfacce esegue la traduzione dinamica dell indirizzo su tutto il traffico verso l esterno e contiene regole predefinite per autorizzare il traffico diretto ad un server Web o di posta situato sulla rete interna Esempio 2 Default ProxyARP Una caso particolare di configurazione Default che utilizza la regola Proxy ARP per autorizzare l installazione con poche modifiche o nessuna agli host e ai router connessi Esempio 3 DMZ Una configurazione con tre interfacce in cui un server Web un server di posta elettronica e un server FTP si trovano in una zona demilitarizzata DMZ Esempio 4 DMZ MailFwd DNS Simile alla configurazione DMZ Il server di posta viene spostato nella rete interna ed aggiunto un sistema di instradamento della posta all area D
63. maggior parte dei casi viene fornito dal provider di servizi Internet ISP Internet Service Provider 8 loghost 0 0 0 0 Dopo avere installato EnterNet FireWall Logger o un daemon syslog di terze parti digitarne l indirizzo in questa posizione L indirizzo viene utilizzato nella sezione Loghosts perch il firewall disponga delle informazioni per l invio dei dati di log Se si utilizza un destinatario syslog al posto di FireWall Logger sar necessario modificare il tipo di loghost nella sezione Loghosts 9 wwwsrv priv 0 0 0 0 10 mailfwd priv 0 0 0 0 11 dnssrv priv 0 0 0 0 Se si dispone di server Web di posta o DNS con indirizzi privati che si desidera rendere accessibili pubblicamente digitarne l indirizzo in questa posizione possibile ovviamente specificare un unico indirizzo per i tre servizi se questi sono installati sullo Stesso server Questi indirizzi vengono utilizzati dalle regole SAT nella sezione Rules per implementare la traduzione degli indirizzi statici rispettivamente nelle porte 80 25 e 53 12 wwwsrv pub ip_ext 13 mailfwd pub ip_ext 14 dnssrv pub ip_ext E inoltre possibile specificare gli indirizzi tramite i quali sono pubblicati i server Web e di posta Utilizzando gli indirizzi predefiniti i server Web e di posta saranno pubblicati tramite l indirizzo IP esterno del firewall EnterNet FireWall 199 Questi
64. o segnale di stop e la colonna Uptime cambier per visualizzare i giorni le ore i minuti e i secondi Se il firewall viene visualizzato nell elenco come funzionante molto probabile che anche la nuova e sicura connessione sia gi in funzione Operazioni preliminari 6 7 Seil firewall non funziona Se il firewall non viene visualizzato nell elenco come funzionante nonostante siano state apportate solamente le modifiche sopra descritte possibile che si sia verificato uno dei seguenti errori Errori di connessione alle interfacce possibile risolvere questo problema tramite il comando arpsnoop nella console del firewall Digitare arpsnoop alle premere Invio Verranno visualizzate tutte le query ARP presenti nelle interfacce Se dopo un certo lasso di tempo non compare nulla provare a inviare messaggi eseguendo il ping di diversi indirizzi dagli host connessi alle rispettive reti Nell output del comando arpsnoop il nome dell interfaccia in ogni riga dovrebbe corrispondere agli indirizzi IP visualizzati da tutte le interfacce In caso contrario possibile che i cavi di rete siano stati collegati alla scheda di rete errata Provare a spostare i cavi di rete Per ulteriori informazioni sulla console del firewall console e sul comando arpsnoop consultare la sezione 8 2 Console del firewallconsore del firewall Utilizzo di una scheda NIC 3c905 non 905B o 905C Il modello originale 3c905 presenta numerosi pro
65. pi comunemente in uso sta nel fatto che non viene specificato il nome dell interfaccia in una colonna separata Al contrario si specifica l indirizzo IP di ciascuna interfaccia come un gateway 7 3 8 1 Finestra di dialogo Proxy ARP Questa finestra di dialogo specifica su quali interfacce sar pubblicato il percorso corrente mediante Proxy ARP Per selezionare pi di un interfaccia tenere premuto il tasto Ctrl e fare clic sugli elementi inclusi nell elenco Cancel In breve la funzione Proxy ARP ha le stesse funzionalit della pubblicazione di elementi ARP che pu essere eseguita nella sezione ARP La grande differenza consiste nel fatto che possibile in modo semplice e rapido pubblicare contemporaneamente intere reti su una o pi interfacce Un altra differenza meno importante che il firewall pubblica sempre gli indirizzi come appartenenti al firewall stesso perci non possibile pubblicare indirizzi che appartengono ad altri indirizzi hardware Per ulteriori informazioni sui casi in cui possono risultare utili le funzioni di pubblicazione Proxy ARP e ARP nonch sul loro funzionamento consultare gli esempi di configurazione mediante Proxy ARP nella sezione 8 5 Esempi di configurazione EnterNet FireWall Manager 7 3 9 Scheda Access E Configuration of gw myorganisation 192 168 123 1 Settings Hosts Nets Pipes Interfaces ARP Routes Access Bules Loghosts Remotes
66. possibile eseguire questa operazione in due modi diversi e inviando la configurazione tramite la rete da una workstation autorizzata ad amministrare il firewall in remoto oppure e estraendo il supporto di avvio dal firewall per inserirlo nella workstation quindi salvando la nuova configurazione su tale supporto e infine reintrodurlo nel firewall Per attivare la nuova configurazione necessario digitare il comando reconfigure nella console del firewall Consultare la sezione 8 2 Console del firewallconsore del firewall EnterNet FireWall Manager 7 1 Installazione di FireWall Manager EnterNet FireWall Manager pu essere installato in una o pi workstation ed essere eseguito in Windows 95 98 NT 4 0 Windows 2000 e Windows Me Se si desidera utilizzare FireWall Manager in pi workstation consigliabile installare il programma su una rete condivisa In questo modo possibile salvare i driver e il software del firewall aggiornato nella stessa directory nella quale stato installato FireWall Manager per consentire agli utenti di accedervi facilmente Per utilizzare le applicazioni da varie workstation necessario memorizzare il database in una posizione facilmente accessibile da parte di tutti gli utenti autorizzati Per ulteriori informazioni sull impostazione di pi FireWall Manager per amministrare un singolo firewall consultare il paragrafo 7 1 3 parapase di amministrazione pi avanti 7 1 1 Procedur
67. priorit In tal modo possibile attribuire una comunicazione inattesa dai server nell area DMZ ad un intrusione Le comunicazioni autorizzate da questi server devono perci essere limitate ad un valore minimo per aumentare la possibilit di scoprire tali attacchi e di rendere sempre pi difficile l accesso di un intruso alle altre parti del sistema EnterNet FireWall 205 19 Reject ANY all nets ip_ext 32 TCP ALL gt 113 20 Drop ANY all nets all nets AII Le regole 17 e 18 non sono in relazione diretta con la protezione Il traffico che non soddisfa nessuna delle regole incluse nel set viene sempre scartato senza essere registrato per questo motivo che conviene aggiungere una regola finale che oltre a scartare il traffico lo registra e Laregola 19 necessaria poich molti server FTP su Internet eseguono tentativi di apertura di connessioni verso il mittente quando vi si accede La porta 113 stata ideata per ident daemon che nei sistemi Unix consente al server di determinare l utente locale che tenta la connessione Se in questa posizione non presente una regola Reject tali server possono ritardare la connessione fino a un minuto nel tentativo di aprire una connessione verso la porta 113 La regola Reject predispone il firewall per la restituzione di un messaggio TCP RESET il quale notifica immediatamente al server che la connessione alla porta 113 non sar poss
68. privato del server di posta situati nella rete interna Ci rende il server di posta interno accessibile mediante indirizzo IP dell interfaccia DMZ La regola 15 autorizza le connessioni tradotte nella regola 14 204 EnterNet FireWall La ragione per cui il server di posta interno viene reso accessibile mediante l indirizzo IP dell interfaccia DMZ sta nel fatto che invece di consentire al sistema di inoltro della posta di connettersi direttamente al server di posta interno la struttura della rete interna nascosta dai server dell area DMZ 16 NAT dmz mailfwd priv 32 all nets TCP ALL gt 25 SetSrc mailfwd pub 0 La regola 16 consente al sistema di inoltro della posta di stabilire connessioni SMTP verso reti esterne Su queste comunicazioni viene eseguita la traduzione dinamica dell indirizzo utilizzando un indirizzo pubblico del sistema di inoltro della posta come indirizzo del mittente 17 NAT dmz dnssrv priv 32 all nets Ports ALL gt 53 La regola 17 consente al server DNS di eseguire query DNS verso reti esterne Su queste comunicazioni viene eseguita la traduzione dinamica dell indirizzo utilizzando l indirizzo pubblico del firewall come indirizzo del mittente 18 Drop dmz all nets all nets All La regola 18 consente di bloccare tutte le altro comunicazioni dall area DMZ e le registra con un avviso di alta
69. sistema operativo compatibile con MS DOS DR DOS viene utilizzato principalmente per fornire un file system standard e consentire ai driver ODI di entrare in funzione nel caso in cui fosse necessario l utilizzo di tali driver Inoltre il software del firewall non utilizza realmente DOS dal momento che dispone di un sistema operativo integrato a 32 bit in tempo reale Contenuto di e Directory FireWall Contiene il software di EnterNet FireWall e i relativi file di configurazione e Directory ODI Contiene i driver delle schede di rete ODI e i relativi file di configurazione incluso il file net cfg Il contenuto di net cfg e la configurazione delle schede di rete non possono essere modificati in modalit remota Il file Net cfg viene generato in base alla configurazione del firewall ogniqualvolta viene creato un supporto di avvio del firewall oppure viene salvata la configurazione nel supporto di avvio e AutoExec bat e Config sys Contenuto di FireWall e FWCore exe Il software di EnterNet FireWall e FWCore cfg La configurazione corrente utilizzata dal firewall e FWCore_O cfg Il file FWCore cfg viene anche salvato come FWCore_O cfg ogni volta che si seleziona Save To Boot Media nel menu FireWall Tuttavia questo file non viene modificato quando si invia una nuova configurazione al firewall mediante la rete EnterNet FireWall 169 e FWCore_N cfg In genere questo file non esiste Viene utilizzato come file tempor
70. uscita e 448 kbps in entrata dal momento che il totale comunque di 512 kbps Configurazione del traffico Per poter controllare correttamente la larghezza di banda in entrambe le direzioni necessario utilizzare due pipe uno per il traffico in entrata e uno per il traffico in uscita entrambi con un limite di 256 kbps Una volta creato il pipe Define Pipe Chains for Rules Lx per il controllo della M Eorward Chain Return Chain larghezza di banda in stdout stdin U uscita sufficiente aggiungerlo alla Remove Remove concatenazione di pipe di Don DEE inoltro della regola creata nell esempio precedente gt E ad _ std in In questo modo tutte le EE connessioni in uscita Use defaults from first pipe saranno limitate a 256 C UseFged ff 0 7 ox kbps in entrambe le MapIP DSCP ToS A 7 Cancel direzioni e si otterr un risultato molto simile a una normale connessione Internet a 256 kbps Naturalmente anche possibile utilizzare un solo pipe per entrambe le direzioni se si desidera un totale di 256 kbps divisi indifferentemente tra dati di inoltro e dati di ritorno Esistono connessioni Internet di questo tipo ma generalmente si acquista la stessa quantit di larghezza di banda in entrambe le direzioni in modo che il flusso di dati in una direzione non influenzi quello dell altra Configurazione del traffico 10 2 1 3 Utilizzo di
71. vasta scala Inoltre la maggior parte delle soluzioni QoS basata sulle applicazioni ovvero funziona mediante applicazioni che forniscono alla rete le informazioni QoS Dal punto di vista della sicurezza naturalmente inaccettabile che le applicazioni ovvero gli utenti decidano la priorit del proprio traffico in una rete Nei contesti in cui la sicurezza riveste una particolare importanza e nei quali non possibile dare fiducia agli utenti solo hardware di rete deve avere la possibilit di decidere in merito a priorit e allocazioni della larghezza di banda I punti elencati consentono di comprendere il motivo per cui sia quasi impossibile ordinare in base alla priorit e garantire una limitazione del traffico nelle reti vaste e complesse nelle quali coesistono standard e prodotti differenti Un esempio di questo genere di topologia di rete Internet AI contrario in reti delimitate esistono ottime possibilit di utilizzare diversi metodi per il controllo del traffico Una rete delimitata definita per la maggior parte da limiti amministrativi e non dalle sue dimensioni Il traffico in una rete MAN Metropolitan Area Network e persino in una rete WAN Wide Area Network potrebbe essere gestito in maniera ottimale a patto che la rete sia stata progettata in maniera omogenea Configurazione del traffico EnterNet FireWall offre funzionalita QoS applicando limiti e garanzie al traffico di rete invece di lasciare
72. 05 8 5 6 Esempio 6 DMZ Shared Extnet 206 9 _ Auditing da EnterNet Firewall 207 9 1 Cosa viene registrato da EnterNet FireWall 207 9 2 EnterNetFireWall Logger 211 9 2 1 Installazione di FireWall Logger 211 9 2 2 Configurazione di EnterNet FireWall Logger 212 9 3 Strumento di analisi dei log 216 9 3 1 Visualizzazione Wizard 217 9 3 2 Visualizzazione Results 221 9 3 3 Visualizzazione E SQL 224 9 4 Riferimenti E SQL 225 9 5 Log inviati a destinatari syslog 232 9 6 Visualizzazione Real Time dei Log 233 10 Configurazione del traffico 235 10 1 Premessa 236 10 1 1 Nozioni di base su Traffic Shaping 237 10 2 Configurazione del traffico su Enternet FireWall 240 10 2 1 Nozioni di base sui pipe 241 10 2 2 Precedenze 248 10 2 3 Raggruppamento degli utenti di un pipe 258 10 2 4 Bilanciamento dinamico della larghezza di banda 261 10 3 Esempi pratici di utilizzo dei pipe 262 11 Internet e TCP IP 265 11 1 Numeri di protocollo IP 265 11 2 Numeri di porta utilizzati comunemente 271 12 Domande frequenti FA 283 13 Glossario 295 1 Informazioni sul documento 1 1 Note legali vietata la riproduzione completa o parziale del contenuto di questo documento senza previa autorizzazione scritta di EnterNet Technologies in base alle disposizioni di legge sul diritto di autore in vigore in Svezia del 30 dicembre 1960 Tali vincoli vengono applicati a tutte le forme di riproduzione inclusa la trasmissione la stampa la copia la serigraf
73. 1 timed 525 tcp Timeserver timed 525 udp Timeserver netnews 532 tcp Readnews netnews 532 udp Readnews netwall 533 tcp per trasmissioni di emergenza netwall 533 udp per trasmissioni di emergenza uucp 540 tcp Uucpd uucp 540 udp Uucpd uucp rlogin 541 tcp uucp rlogin uucp rlogin 541 udp uucp rlogin klogin 543 tcp klogin 543 udp kshell 544 tcp Kremd kshell 544 udp Kremd new rwho 550 tcp new who new rwho 550 udp new who remotefs 556 tcp rfs server remotefs 556 udp rfs server ipcserver 600 tcp Sun IPC server ipcserver 600 udp Sun IPC server doom 666 tcp doom Id Software doom 666 tcp doom Id Software netviewdml 729 tcp IBM NetView DM 6000 Server Client netviewdml 729udp IBM NetView DM 6000 Server Client netviewdm2 730 tcp IBM NetView DM 6000 send tcp netviewdm2 730 udp IBM NetView DM 6000 send tcp netviewdm3 731 tcp IBM NetView DM 6000 receive tcp netviewdm3 731 udp IBM NetView DM 6000 receive tcp fujitsu dev 747 tcp Fujitsu Device Control fujitsu dev kerberos adm kerberos adm tell tell quotad quotad puprouter puprouter enetfw enetfw socks socks netware csp netware csp fc cli fc cli fc ser fc ser apple licman apple licman novell lu6 2 novell lu6 2 autodesk 1m autodesk 1m ms sql s ms sql s ms sql m ms sql m 747 udp 749 tcp 749 adp 754 tcp 754 adp 762 tcp 762 udp 999 tcp 999 udp 999 tcp 999 udp 1080 tcp 1080 udp 1366 tcp 1366 udp 1371 tcp 1371 udp 1372 tcp 1372 u
74. 130 secondi ConnLife_Ping Specifica la durata di inattivit di una connessione Ping ICMP ECHO prima che venga terminata Impostazione predefinita 8 secondi ConnLife_Other Specifica la durata di inattivit di una connessione che utilizza un protocollo sconosciuto prima che venga terminata Impostazione predefinita 130 secondi 7 3 2 7 Limiti di dimensioni in base al protocollo Questa sezione contiene informazioni sui limiti delle dimensioni imposti ai protocolli direttamente sotto il livello IP ad esempio TCP ICMP UDP e cos via EnterNet FireWall Manager I valori indicati di seguito riguardano i dati IP contenuti nei pacchetti Nel caso di una rete Ethernet un singolo pacchetto pu contenere fino a 1480 byte di dati IP senza frammentazione Inoltre esistono altri 20 byte di intestazione IP e 14 byte di intestazione Ethernet che corrispondono all unit di trasmissione massima del supporto sulle reti Ethernet pari a 1514 byte MaxTCPLen Specifica la dimensione massima di un pacchetto TCP inclusa l intestazione Questo valore si riferisce spesso al totale dei dati IP che possono essere inseriti in un pacchetto non frammentato dal momento che il protocollo TCP adatta generalmente i segmenti inviati in base alla dimensione massima del pacchetto Tuttavia questo valore deve essere aumentato di 20 50 byte su alcuni sistemi VPN meno comuni Impostazione predefinita 1480 byte MaxUDPLen Specifica la dimension
75. 2001 01 20 18 38 13 gw myorgani NETCON NetCon initialization compl 2001 01 20 18 38 13 gw myorgani SYSTEM STARTUP FwCore 6 00 2001 01 20 18 38 13 gw myorgani NETCON New NetCon connection fr 2001 01 20 18 gw myorgani NETCON Configuration FwCore_N ved D ina 2001 01 20 18 38 41 gw myorgani Drop_ICMP DROP 168 0 11 ICMP Disallowed Dropping 2001 01 20 18 38 45 gw myorgani Drop_ICMP DROP int 192 168 0 11 ICMP Disallowed Dropping 2001 01 20 18 38 49 gw myorgani Drop ICMP DROP int 192 168 0 11 193 13 ICMP Disallowed Dropping 2001 01 20 18 38 53 gw myorgani Drop ICMP DROP int 192 168 0 11 ICMP Disallowed Dropping 2001 01 20 18 38 58 gw mporgani Drop_ICMP DROP int 192 168 0 11 ICMP Disallowed Dropping 2001 01 20 18 39 02 gw myorgani Drop_ICMP DROP int 192 168 0 11 ICMP Disallowed Dropping 2001 01 20 18 39 07 gw myorgani Drop_ICMP DROP int 192 168 0 11 193 13 ICMP Disallowed Dropping 2001 01 20 18 39 11 _ow myoraani Droo ICMP___DROP int 192 168 0 11 193 13 ICMP Disallowed Dropping zl E Description Disallowed Dropping E Rules Rule name Drop_ICMP El Ethemet Packet Sender 0050 dae9 24f4 Destination 0010 4bb2 9ef7 Pratanal IBA Zi 10 4B B2 F 00 50 DA E9 24 F4 08 00 45 00 K P E 000010 00 3C CD 15 00 00 20 01 4B 9E CO A8 00 0B C1 0D lt K 000020 00 4D 08 00 44 SC 02 OO 07 OO 61 62 63 64 65 66 M DN abcdef 000030 67 68 69 6A 6B 6C
76. 5 66 77 80 gt 10 0 0 3 1038 In questo modo la risposta arriva al PC1 dall indirizzo previsto Un altra possibile soluzione a questo problema consiste nel permettere ai client interni di comunicare direttamente con 10 0 0 2 in modo da evitare completamente tutti i problemi associati alla traduzione dell indirizzo Tuttavia tale soluzione non sempre pratica 8 1 7 3 Regole SAT e FwdFast possibile utilizzare la traduzione statica dell indirizzo insieme alle regole FwdFast sebbene il traffico di ritorno debba essere esplicitamente autorizzato e tradotto Le seguenti regole descrivono un esempio funzionante di traduzione statica dell indirizzo mediante le regole FwdFast per un server Web ubicato su una rete interna 1 SAT ANY all nets ip_ext 32 All gt 80 SetDest wwwsrv 80 2 SAT int wwwsrv 32 all nets 80 gt All SetSrc ip_ext 80 3 FwdFast ANY all nets ip_ext 32 All gt 80 4 FwdFast int wwwsrv 32 all nets 80 gt All Viene aggiunta una regola NAT per autorizzare le connessioni dalla rete interna a Internet 158 EnterNet FireWall 5 NAT int intnet all nets All gt All Conseguenze e II traffico esterno verso ip_ext 80 che soddisfa le regole 1 e 3 verr quindi inviato a wwwsrv Corretto e Iltraffico di ritorno sar automaticamente gestito dal meccanismo di stateful inspection del firewall e Iltraffico interno verso ip_ext 80
77. 6D 6E 6F 70 71 72 73 74 75 76 ghijklmnopgrstuv 000040 77 61 62 63 64 65 66 67 68 69 wabedefghi Results SAL Ready f I La visualizzazione Results divisa in tre sezioni separate con diversi livelli di dettagli Auditing da EnterNet Firewall La sezione superiore visualizza tutti gli eventi di log che fanno parte dei risultati della ricerca ordinati in base alla data dal pit vecchio al pi recente Time Name Rue categoy Source Destinat Protocol Summay l 2001 01 20 18 38 11 gw myorgani SYSTEM SHUTDOWN RECONFIG 2001 01 20 18 38 13 gw myorgani NETCON NetCon initialization compl 2001 01 20 18 38 13 gw myorgani SYSTEM STARTUP FWCore 6 00 2001 01 20 18 38 13 gwmyorgani NETCON New NetCon connection fr 2001 01 20 18 38 13 i Configuration FWCore_N topping ICMP Disallowed Dropping ICMP Disallowed Dropping P DAG IP int 1 2001 01 20 18 38 45 gw myorgani Drop_ICMP DROP int 192 168 0 11 2001 01 20 18 38 49 gw myorgani Drop_ICMP DROP int 192 168 0 11 geni Dr Le colonne visualizzate sono da sinistra a destra e Data e ora dell evento e Nome del firewall in cui si registrato l evento e Il nome della regola che ha generato questa voce di log e Categoria dell evento Per un elenco delle categorie e descrizioni consultare la sezione 9 4 Riferimenti E SQL e L origine del pacchetto che ha generato l evento Vengono visualizzate informazioni diverse sull
78. 8 4 3 3 Scheda madre bus di sistema 39 4 3 4 Supporti di avvio 40 4 3 5 Schede di rete 41 4 3 6 Configurazione del BIOS 43 4 3 7 Altri requisiti 43 5 Aggiornamento dalla versione 5 x 45 5 1 Procedura di aggiornamento 1 accesso fisico 45 5 2 Procedura di aggiornamento 2 accesso remoto 47 6 Operazioni preliminari 49 6 1 Avvio rapido 49 6 2 Preparativi iniziali 49 6 3 Creazione di un firewall in FireWall Manager 50 6 4 Modifica delle impostazioni predefinite 52 6 4 1 Indirizzi di rete localeSelezionare la scheda Nets per modificare le impostazioni degli indirizzi di rete 53 6 4 2 Indirizzi IP locali 54 6 4 3 Definizione delle impostazioni della scheda di rete 56 6 4 4 Configurazione dell interfaccia 57 6 5 Salvataggio della configurazione 58 6 6 Messa in funzione di EnterNet FireWall 59 6 6 1 Creazione di un supporto di avvio per EnterNet FireWall 59 6 6 2 Collegamento delle schede di rete del firewall 59 6 6 3 Installazione della chiave hardware 60 6 6 4 Avvio di EnterNet FireWall Manager 60 6 7 Seil firewall non funziona 61 7 _EnterNet FireWall Manager 65 7 1 Installazione di FireWall Manager 66 7 1 1 Procedura di installazione 66 7 1 2 Maggiore sicurezza a livello locale per FireWall Manager 66 4 EnterNet FireWall 7 1 3 Database di amministrazione 67 7 2 Finestra principale FireWall List 68 7 2 1 Barra degli strumenti 70 7 2 2 Menu File 71 7 2 3 Menu FireWall 71 7 2 4 Menu Tools 79 7 2 5 Menu Log 82 7 2 6 Menu View 82 7
79. 80 e Jn genere il firewall traduce l indirizzo del mittente nell indirizzo l interfaccia pi vicina all indirizzo di destinazione In questo esempio si utilizzer 195 11 22 33 Inoltre la porta di origine viene cambiata in una porta libera sul firewall di solito un valore superiore a 32768 In questo esempio si utilizzer la porta 32789 Il pacchetto quindi inviato alla relativa destinazione 195 11 22 33 32789 gt 195 55 66 77 80 e Jl server del destinatario elabora quindi il pacchetto e invia la risposta 195 55 66 77 80 gt 195 11 22 33 32789 e Il firewall riceve il pacchetto e lo confronta con l elenco delle connessioni aperte Una volta trovata la connessione in questione il firewall ripristina l indirizzo originale e invia il pacchetto 195 55 66 77 80 gt 192 168 1 5 1038 e Jl mittente originale riceve la risposta 8 1 2 Quali protocolli pu elaborare la regola NAT Hide La traduzione dinamica dell indirizzo in grado di elaborare i protocolli TCP UDP e ICMP con un buon livello di funzionalit poich l algoritmo conosce i valori che possono essere adattati per diventare univoci nei tre protocolli Per altri protocolli IP le connessioni univoche vengono identificate dagli indirizzi del mittente dagli indirizzi di destinazione e dai numeri di protocollo Ci significa che EnterNet FireWall 149 e Una macchina interna pu comunicare con vari server esterni utilizzando lo stesso protocollo IP e U
80. 888 741 268 Internet e TCP IP CHAOS UDP MUX DCN MEAS HMP PRM XNS IDP TRUNK 1 TRUNK 2 LEAF 1 LEAF 2 RDP IRTP ISO TP4 NETBLT MFE NSP MERIT INP SEP 3PC IDPR XTP DDP IDPR CMTP TP IL IPv6 SDRP IPv6 Route IPv6 Frag Chaos User Datagram 768 Multiplexing DCN Measurement Subsys Host Monitoring 869 Packet Radio Measurement Xerox NS IDP Trunk 1 Trunk 2 Leaf 1 Leaf 2 Reliable Data Protocol 908 Internet Reliable Transaction 938 ISO Transport Protocol Class 4 905 Bulk Data Transfer Protocol 969 MFE Network Services Protocol MERIT Internodal Protocol Sequential Exchange Protocol Third Party Connect Protocol Inter Domain Policy Routing XTP Datagram Delivery Protocol IDPR Control Message TP Transport Protocol IL Transport Protocol IPv6 Source Demand Routing Routing Header per IPv6 Fragment Header per IPv6 Internet e TCP IP 45 46 47 48 49 50 SI 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 IDRP RSVP GRE MHRP BNA ESP AH I NLSP SWIPE NARP MOBILE TLSP SKIP IPv6 ICMP IPv6 NoNxt IPv6 Opts CFTP SAT EXPAK KRYPTOLAN RVD IPPC SAT MON VISA IPCV CPNX Inter Domain Routing Protocol Reservation Protocol General Routing Encapsulation Mobile Host Routing Protocol BNA Encap Security Payload IPv6 Authentication Header IPv6 Integrated Net Layer Security IP con Encryption NBMA Address Resolution IP Mobility
81. Addy 6c6 d 56 51da1 828 HwA bagket driver 6x68 Handles x 1fa BxAeR wi aza a 3 gdr 8018 a868 77fd a 3 e g 1 Am TPAddy 192 168 234 1 Packet driver 6x69 Handles BxBifa x Activating attached hub ports Previous shutdown 2881 81 25 86 88 88 Shutdown due to console command System running dr 8616 a668 77e9 160 EnterNet FireWall 8 2 1 Barra di stato della console La prima riga di stato mostra le informazioni sul numero di pacchetti e di bit al secondo che attraversano ciascuna interfaccia I numeri forniti in questo esempio mostrano che e Nell interfaccia interna stanno passando 2500 pacchetti al secondo 15 5 Megabit al secondo e Nell interfaccia esterna stanno passando 6000 pacchetti al secondo 36 Megabit al secondo e Nell interfaccia DMZ stanno passando 3500 pacchetti al secondo 30 5 Megabit al secondo Questi numeri includono il totale dei dati inviati e ricevuti da ciascuna interfaccia Questa riga di stato pu visualizzare un massimo di otto interfacce La seconda riga di stato fornisce le seguenti informazioni e CPU Percentuale del carico relativa alla CPU del firewall e Bufs Percentuale di utilizzo dei buffer per i pacchetti disponibili Il numero totale di buffer per i pacchetti viene visualizzato nel comando stats e Conns Percentuale di utilizzo delle connessioni disponibili Il numero massimo di connessioni determinato dalla sezione Settings La configurazione p
82. B ovvero 255 255 0 0 24 una rete di classe C ovvero 255 255 255 0 27 una rete a 32 indirizzi ovvero 255 255 255 224 28 una rete a 16 indirizzi ovvero 255 255 255 240 29 una rete a 8 indirizzi ovvero 255 255 255 248 32 corrisponde a un singolo indirizzo Open Datalink Interface uno standard per driver di schede di interfaccia di rete quali quelli utilizzati da Novell Glossario 299 Ethernet Ethernet uno standard LAN molto diffuso nel settore Una rete Ethernet viene generalmente trasportata su cavi Twisted Pair CATS cavi coassiali BNC e fibre ottiche Le reti Ethernet generalmente hanno una velocit di 10 Mbps e 100 Mbps mentre le reti Gigabit Ethernet hanno una velocit di 1000 Mbps Se un cavo viene utilizzato solo per collegare due computer tra loro o per collegare un computer a uno switch la connessione pu svolgersi in modalit Full Duplex La modalit normale di una Ethernet a 10 Mbps Half Duplex File Transfer Ftp un protocollo per il trasferimento dei file Protocol Supporta sia il caricamento che lo scaricamento di file ed in grado di trasferire pi file contemporaneamente Per quanto riguarda lo scaricamento di file FTP stato quasi completamente sostituito da HTTP FTP funziona utilizzando due connessioni una alla porta 21 per i comandi e una per il trasferimento dei dati Se viene utilizzato FTP in Active Mode il canale dei dati viene aperto dal server a
83. C o Edit verr visualizzata la seguente finestra di dialogo che consente rispettivamente di aggiungere una nuova origine dati basata su file una nuova origine dati basata su ODBC oppure di modificare un origine dati esistente EnterNet FireWall Manager L opzione Name consente di identificare l origine m Datasource Setup dati in tutto il sistema Name e verra utilizzato ad V Enable esempio nell elenco a Path DSN string discesa relativo EEE all archiviazione incluso nella finestra di dialogo New FireWall Cancel In base al tipo di origine dati l opzione Path DSN string consente di specificare la directory di memorizzazione dei file di dati oppure della stringa ODBC DSN L opzione Browse consente di selezionare un percorso dalla finestra di dialogo del file oppure un DSN da un elenco dei nomi origine dati DSN disponibili Per attivare o disattivare l origine dati selezionare o deselezionare la casella di controllo Enable Edit Proposal Lists Consente di visualizzare una finestra di dialogo tramite la quale possibile modificare gli elenchi inclusi nel componente aggiuntivo EnterNet VPN Per ulteriori informazioni su questa opzione consultare il manuale EnterNet VPN Users Guide EnterNet FireWall Manager 7 2 5 Menu Log Manage Log Receivers Log dea 3 3 Manage Log Receivers Consente di visualizzare una finestra di noen Loa hene a dialogo tramite l
84. Com EtherLink III e Intel EtherExpress Pro 100 Include inoltre un ulteriore utilit di analisi PCI che consente di consultare con rapidit i parametri di bus e slot relativi a qualsiasi tipo di scheda di rete PCI Per creare un disco di avvio che includa i programmi di configurazione relativi alle schede di rete sopra citate selezionare Create NIC Setup Disk dal menu Tools Dopo aver creato il disco di avvio inserirlo nel computer firewall e avviare la macchina A questo punto possibile aprire il programma di configurazione della scheda Se si utilizzano schede ISA necessario inserire i seguenti valori e il numero di interrupt IRQ un valore compreso tra 1 e 15 e il numero di porta un valore esadecimale a tre cifre Se si utilizzano schede PCI necessario inserire i seguenti valori e il numero di slot generalmente un valore compreso tra 1 e 30 Operazioni preliminari e il numero di bus generalmente compreso tra 0 e 1 Qualora il numero di bus non fosse disponibile possibile adottare il numero 0 necessario impostare alcuni valori all interno del software di configurazione della scheda di rete e Se le schede di rete supportano numerosi tipi di supporti ad esempio TP BNC AUI necessario configurarle solo per i tipi di supporti che verranno utilizzati Quando la scheda di rete non collegata alla rete in fase di avvio nella maggior parte dei casi non sar in grado di rilevare automaticament
85. Come accade anche nella visualizzazione Wizard la query viene eseguita selezionando Run Query dal menu Logger sulla barra dei menu oppure premendo Ctrl E Tutte le query eseguite in precedenza vengono visualizzate nella sezione Old E SQL queries della visualizzazione E SQL che include anche quelle generate dalla visualizzazione Wizard possibile riutilizzare queste query facendo clic su di esse con il pulsante destro del mouse e selezionando Copy quindi incollandole nella sezione query di E SQL Nota le query create con la visualizzazione Wizard possono essere mostrate nella visualizzazione E SQL mentre le query scritte manualmente nella visualizzazione E SQL non possono essere mostrate nella visualizzazione Wizard Passando alla visualizzazione Wizard verranno mostrate le impostazioni dell ultima query generata da Wizard _ Auditing da EnterNet Firewall 9 4 Riferimenti E SQL E SQL acronimo di EnterNet Structured Query Language il linguaggio di query utilizzato per effettuare le ricerche nei log In termini di formato e sintassi E SQL molto simile al linguaggio SQL tradizionale utilizzato come linguaggio di query nei sistemi di database Naturalmente E SQL presenta numerose parole chiave e istruzioni specifiche per EnterNet FireWall La sintassi fondamentale di una query E SQL la seguente SELECT lt outputtype gt lt outputtype gt FROM lt firewall and time statement gt WHERE lt logical statement gt
86. Innanzitutto necessario decidere come raggruppare gli utenti del pipe ssh in per poter applicare delle limitazioni a ciascun utente sulla rete interna Dal momento che si tratta di pacchetti in entrata il raggruppamento avverr in base all IP di destinazione perci necessario modificare il raggruppamento ssh in in Per DestIP Name Min 7 2 std out 3 sutin 0 Total 128Kb 4 sshin 0 PerDestiP P1 64Kb a o z None P1 32Kb 6 jo E None Dopo avere impostato il raggruppamento si possono impostare le limitazioni in base a ciascun singolo utente In questo caso il limite per la precedenza 1 viene impostato a 16 kbps per utente in modo che ciascuno di essi abbia una banda garantita di soli 16 kbps per il traffico SSH Se si desidera possibile limitare anche la larghezza di banda totale per ciascun utente impostandola ad esempio su 40 kbps Configurazione del traffico Appare evidente che sorgono problemi se pi di quattro utenti inviano o ricevono contemporaneamente molto traffico SSH dal momento che 16 kbps per cinque d un totale che supera i 64 kbps Il limite totale per il pipe ancora attivo e ciascun utente deve competere per la larghezza di banda disponibile con precedenza 1 cos come devono competere per la larghezza di banda con precedenza 0 Nel corso del capitolo verr trattato il bilanciamento dinamico una soluzione che pu
87. L e registra gli indirizzi IP che rispondono con un messaggio Time Exceeded per ogni TTL Ci fornisce una panoramica generale del percorso effettuato da un pacchetto per raggiungere l indirizzo di destinazione specifico ICMP Parameter Problem Questi messaggi vengono inviati bench molto raramente in risposta ad alcuni pacchetti in cui ad esempio il destinatario ha avuto difficolt nella comprensione di quello che il mittente desidera comunicare Raramente questo messaggio adempie a qualche funzione e non dovrebbe rappresentare alcun pericolo per la sicurezza considerando che la struttura esegue un test su ciascun pacchetto non appena passa attraverso EnterNet FireWall All Selezionando la casella di controllo All nella finestra di dialogo vengono inclusi tutti i tipi di messaggi sopra elencati compreso il messaggio Redirect definito pericoloso e tutti i tipi di messaggio sconosciuti Si sconsiglia di utilizzare l impostazione All nelle regole FwdFast NAT o Allow Tuttavia una funzione molto utilizzata dalle regole Drop EnterNet FireWall Manager 7 3 10 5 Finestra Ports Params IPProto Se si seleziona l opzione IPProto viene visualizzata questa finestra di dialogo Pratocolno uando si fa clic sulla colonna Ti q Cancel Ports Params Questa finestra di dialogo consente di scegliere il numero del protocollo IP che un pacchetto deve contenere per soddisfare una determinata regola Molti protocolli
88. MZ Questo modello contiene regole predefinite per un server DNS situato nell area DMZ 172 EnterNet FireWall Esempio 5 DMZ ProxyARP Una caso particolare di configurazione DMZ che utilizza la regola Proxy ARP per autorizzare l installazione con poche modifiche o nessuna ai server e ai router connessi Esempio 6 DMZ Shared Extnet Un adattamento della regola DMZ ProxyARP basata per sul presupposto che il firewall esterno sia condiviso con altri clienti o server e che solo alcuni indirizzi sono instradati ai server in DMZ 8 5 1 Esempio 1 Default Questa configurazione che utilizza due interfacce esegue la traduzione dinamica dell indirizzo di tutte le comunicazioni dalla rete protetta fatta eccezione per NetBIOS a cui non consentito passare attraverso il firewall in nessuna direzione gw world 194 1 2 1 extnet 194 1 2 0 24 ip_ext 194 1 2 2 ip_int 192 168 123 1 intnet 192 168 123 0 24 wwwsrv priv mailsrv priv 192 168 123 x 192 168 123 x EnterNet FireWall 173 La configurazione contiene anche regole che consentono il passaggio di HTTP verso un server Web e di SMTP verso un server di posta elettronica Questi server sono connessi alla rete protetta e hanno indirizzi privati Sulle connessioni viene eseguita la traduzione dinamica dell indirizzo Descrizione della sezione Hosts
89. Manuale utente EnterNet FireWall EnterNet FireWall Manager EnterNet FireWall Logger 2 EnterNet FireWall 1 Informazioni sul documento 7 1 1 Note legali 7 1 2 Convenzioni tipografiche 8 1 3 Aggiornamenti 8 2 Introduzione alla protezione di rete 9 2 1 Introduzione 9 2 2 Cos un firewall 9 2 3 Vulnerabilit dei dispositivi di protezione 10 2 4 Come funziona un firewall 10 2 5 Quali sono i limiti del firewall 11 2 5 1 Attacchi ai componenti preinstallati non protetti 12 2 5 2 Utenti inesperti di reti protette 12 2 5 3 Attacchi alle reti guidati dai dati 13 2 5 4 Attacchi interni 16 2 5 5 Connessioni modem e VPN 16 2 5 6 Buchi tra zone demilitarizzate e reti interne 17 2 6 Quali sono i bersagli degli attacchi 19 3 _EnterNet FireWall 21 3 1 Panoramica su EnterNet FireWall 21 3 2 Funzioni di EnterNet FireWall 21 3 3 Componenti del sistema 25 3 4 Esempi di architetture di rete 26 3 4 1 Esempio 1 soluzione di protezione perimetrale tradizionale 28 3 4 2 Esempio 2 soluzione di protezione segmentata 29 3 4 3 Esempio 3 segmentazione di una rete aziendale 30 3 4 4 Esempio 4 soluzione firewall ISP ASP 31 3 5 Modello di licenza di EnterNet FireWall 32 3 5 1 Modello di licenza 32 3 5 2 Gestione delle licenze Enternet tramite pagine Web 33 EnterNet FireWall 3 4 Hardware e prestazioni del firewall 35 4 1 Panoramica 35 4 2 Prestazioni del firewall 35 4 3 Scelta dei componenti hardware 37 4 3 1 CPU 38 4 3 2 RAM 3
90. Wall Logger e fare clic su Start 9 3 Strumento di analisi dei log Lo strumento di analisi dei log un programma integrato in FireWall Manager utilizzato per effettuare ricerche e query rapide nei dati di log ricevuti da EnterNet FireWall Logger Questo strumento consente di ottenere rapidamente e in maniera semplice una panoramica degli eventi del firewall generati nel corso di un determinato periodo Sono inoltre presenti funzioni di filtro che consentono di isolare eventi interessanti in base a parametri specifici Lo strumento di analisi dispone di un sistema avanzato di analisi dei pacchetti che pu essere utilizzato per visualizzare e analizzare il contenuto dei pacchetti che portano alla generazione degli eventi di log Per rendere lo strumento di analisi estremamente flessibile viene utilizzato un linguaggio di query denominato E SQL ovvero un adattamento del linguaggio SQL effettuato da Enternet Questo linguaggio di query molto simile a quello utilizzato in SQL per le query dei database anche se presenta caratteristiche specifiche per i firewall Per ulteriori informazioni su E SQL consultare la sezione 9 4 Riferimenti E SQL _ Auditing da EnterNet Firewall 9 3 1 E possibile digitare query E SQL direttamente nello strumento di analisi ma disponibile anche una procedura guidata intuitiva che pu essere utilizzata per le query meno avanzate Lo strumento di analisi dei log viene attivato dal menu Log di
91. a esaminare devono corrispondere a questo e a tutti gli altri filtri EnterNet FireWall Manager 7 3 10 1 Tipi di azione della sezione Rules Drop I pacchetti che soddisfano la regola Drop vengono scartati immediatamente Tali pacchetti saranno registrati se la relativa funzione stata attivata nella colonna Log Reject Rifiuta i pacchetti allo stesso modo della funzione Drop In aggiunta il firewall invia un messaggio ICMP UNREACHABLE al mittente oppure se il pacchetto rifiutato era di tipo TCP un messaggio TCP RST FwdFast I pacchetti che soddisfano le regole FwdFast vengono autorizzati immediatamente Con queste regole il firewall non ricorda le connessioni aperte e di conseguenza non ispeziona lo stato del traffico lasciato passare secondo le regole FwdFast Ci significa che deve essere attiva una regola corrispondente che consenta al traffico di ritorno se richiesto di passare attraverso il firewall Se stata attivata la funzione di registrazione nella colonna Log verr eseguito il log di tutti i pacchetti che passano in base alle regole FwdFast Le regole FwdFast sono influenzate anche dalla traduzione statica degli indirizzi specificata nelle regole SAT Tuttavia si tenga presente che in questo caso devono essere attive le regole SAT per il ritorno del traffico se richiesto Allow I pacchetti che soddisfano le regole Allow vengono lasciati passare al motore di ricerca di ispezione dello stato il q
92. a il pacchetto TCP deve avere il flag SYN inattivo oppure se questo attivo anche il flag ACK deve essere abilitato Ci significa che tale regola non si applica ai nuovi collegamenti effettuati mediante TCP Non esiste alcuna protezione equivalente per pacchetti UDP o ICMP Impostazione delle porte nelle regole NAT e Allow Per le impostazioni relative al protocollo TCP o alle porte nelle regole NAT e Allow la finestra di dialogo mostrer una casella di controllo SYN flood protection L attivazione di questa funzione protegge gli indirizzi di destinazione dalla ridondanza SYN mediante un meccanismo chiamato SYN Relay EnterNet FireWall Manager 7 3 10 4 Finestra Ports Params ICMP Se si sceglie il protocollo ICMP viene visualizzata questa finestra di dialogo quando si fa clic sulla colonna Ports Params Set ICMP options x Questa finestra di dialogo permette di impostare i tipi di messaggi ICMP che un T pacchetto pu contenere per soddisfare una Sa rn determinata regola I Destination Unreachable Questo non vuole essere in alcun modo un I Source Quenching elenco completo dei tipi di messaggi in T Redirect ICMP Selezionare la casella All significa T Time Exceeded applicare la regola a tutti i 256 tipi di T Parameter Problem messaggi possibili cosa che naturalmente BATMAN eee ben diversa dal selezionare tutti i tipi di TAI messaggi contenuti nell elenco uno alla volta Cancel ICMP Ec
93. a 2 178 EnterNet FireWall 3 ISAT ANY Jall nets wwwsrv pub 32 TCP ALL gt 80 SetDest wwwsrv priv 80 4 SAT ANY all nets mailsrv pub 32 TCP_ ALL gt 25 SetDest mailsrv priv 25 Le regole 3 e 4 consentono di implementare la traduzione statica dell indirizzo per la pubblicazione di un server Web o di posta tramite indirizzi pubblici Gli indirizzi pubblici vengono preimpostati nella sezione Hosts come equivalenti dell indirizzo IP esterno del firewall comunque possibile trasformarli in altri indirizzi pubblici Notare che queste due regole non consentono alcun passaggio di traffico Quando viene soddisfatta una delle due regole il firewall ricorda che la traduzione dell indirizzo verr eseguita successivamente continuando a cercare una regola che consenta la connessione In questa configurazione la regola necessaria pu essere a seconda delle circostanze 6 7 oppure 8 5 Fwd Jint intnet intnet Std Questa regola consente al traffico proveniente dalla rete interna di ritornare sulla rete interna utilizzando l inoltro del pacchetto senza stato In questa configurazione il motivo dell esistenza di questa regola non molto evidente Se si prende in considerazione per una rete pi estesa in cui il firewall funziona da gateway predefinito per un gran numero di router interni questa regola pu risultare estremamente utile Nella maggior parte dei casi t
94. a 3 da cui deriva l acronimo POP3 Vedere anche SMTP e IMAPA Glossario 305 Proxy ARP RIP Router Routing Information Protocol SAT Simple Mail Transfer Protocol SMTP Un firewall o un router possono utilizzare Proxy ARP per segmentare una rete esistente e consentire ai computer nelle due nuove reti di continuare a comunicare direttamente tra loro senza dover modificare la loro configurazione di rete Quando un computer in una rete chiede la comunicazione con un computer nell altra rete mediante ARP il firewall o router risponde utilizzando l indirizzo hardware della sua scheda di rete Quando i computer inviano traffico tra loro il firewall o il router utilizza la sua tabella di instradamento per determinare la direzione in cui devono venire inviati i pacchetti Vedere Routing Information Protocol Una macchina che collega due o pi LAN WAN e o CAN Un router generalmente determina in quale direzione va inviato il traffico in entrata utilizzando l indirizzo di destinazione di ciascun pacchetto e la sua tabella interna di instradamento RIP un protocollo utilizzato all interno di reti delimitate per lo scambio dinamico di informazioni di instradamento Il protocollo molto limitato in termini di funzionalit e sicurezza e per questo motivo stato sviluppato il protocollo OSPF EnterNet FireWall attualmente non supporta n RIP n OSPF Consultare la sezione delle domande frequenti FAQ
95. a DMZ alla rete interna prima di autorizzare l area DMZ a comunicare con tutta la rete altrimenti si rischia di consentire anche la comunicazione tra l area DMZ e la propria rete interna importante ricordare che la rete interna inclusa in tutte le reti In alternativa possibile consentire alle macchine che si trovano nell area DMZ di comunicare con tutti i dispositivi instradati all interfaccia ext specificando ext come interfaccia di destinazione in tutte le regole riguardanti le connessioni verso l esterno dall area DMZ e Le regole SAT hanno alcune particolarit Se un pacchetto soddisfa una regola SAT il firewall ricorder solo che la traduzione statica dell indirizzo verr eseguita successivamente Quindi continuer a ricercare una regola compatibile FwdFast Allow NAT Drop o Reject nel set di regole e Le regole SAT vengono eseguite solo dopo che una regola FwdFast Allow o NAT ha autorizzato il traffico Ci significa che se una regola SAT traduce l indirizzo di destinazione da 1 1 1 1 a 2 2 2 2 le regole FwdFast Allow o NAT dovranno consentire il traffico all indirizzo di destinazione 1 1 1 1 e non 2 2 2 2 e Se si utilizza un inoltro senza stato come FwdFast bisogner anche autorizzare esplicitamente il traffico di ritorno In questo caso il firewall non rileva le connessioni aperte e quindi non pu determinare automaticamente il traffico di ritorno da autorizzare buona norma attivare
96. a della rete necessario assicurare il passaggio di tutto il traffico del collo di bottiglia attraverso i propri pipe Se parte del traffico di una connessione a Internet non attraversa i pipe questi non saranno mai in grado di rilevare quando la connessione Internet piena Configurazione del traffico I casi appena descritti illustrano i problemi derivanti dalle dispersioni Il traffico che si disperde attraverso il firewall senza essere misurato dai pipe produce lo stesso effetto dato dal consumo di larghezza di banda da parte di utenti al di fuori del vostro controllo ma che condividono la vostra stessa connessione 10 2 2 3 Banda garantita Il concetto di banda garantita abbastanza simile all ordinamento di certi tipi di traffico in base alla priorit Ci che rimane da fare limitare la quantit di larghezza di banda ad elevata priorit che pu essere utilizzata Il modo pi semplice ma meno flessibile per ottenere questo risultato limitare il passaggio del traffico nelle preferenze pi elevate dei pipe predefiniti Per modificare il traffico SSH e telnet ordinato in base alla priorit del precedente Set TotalLimis esempio con garanzia di 96 kbps Pre a Pe sufficiente modificare il pipe std in in modo che includa un limite di 96 kbps per la precedenza 1 Ci significa che il traffico SSH e telenet in entrata limitato a 96 kbps Naturalmente no Come affermato in precedenza il tr
97. a di installazione Inserire il CD di EnterNet FireWall nel computer che verr utilizzato per amministrare il firewall Verr avviato automaticamente il sistema di menu EnterNet FireWall In caso contrario selezionare Run dal menu Start di Windows quindi digitare D setup exe D rappresenta la lettera dell unit CD ROM Selezionare Install EnterNet FireWall 6 0 nel menu Verr avviato il programma di installazione Selezionare FireWall Manager e seguire le istruzioni sullo schermo 7 1 2 Maggiore sicurezza a livello locale per FireWall Manager Per evitare che il firewall venga controllato in modalit remota da utenti non autorizzati oppure da programmi che potrebbero violare la sicurezza dei computer locali consigliabile proteggere il database di amministrazione di EnterNet FireWall Manager EnterNet FireWall Manager E necessario almeno cambiare i diritti di accesso ai file del database FWList mdb oppure se si utilizza il database predefinito includere solamente gli utenti autorizzati ad amministrare il firewall in modalita remota Sarebbe comunque molto pi sicuro spostare il file in un server di file e assegnare i relativi diritti di accesso inoltre possibile spostare l intero database su un altro tipo di server dotato di un proprio sistema di autenticazione ad esempio un server SQL Per ulteriori informazioni sullo spostamento di un database consultare il paragrafo 7 1 3 patabase di ammi
98. a la configurazione Se pi semplice immettere l indirizzo IP numerico utilizzare quindi tale soluzione In questo modo non necessario impostare una voce host e poi utilizzare il nome simbolico EnterNet FireWall Manager 7 3 4 Scheda Nets E Configuration of gw myorganisation 192 168 123 1 Settings Hosts Nets Pipes Interfaces ARP Routes Access Bules Loghosts Remotes Name Net Addr Comments 1 linnet 192 168 123 0 24 Internal network the one that is protected 2 extnet 194 1 2 0 24 External network the one connected directly to the external Em all nets 0 0 0 0 0 all possible networks including intnet and extnet La scheda Nets consente di specificare le coppie di nomi simbolici e di indirizzi IP numerici con le maschere di rete Cid consente di semplificare l amministrazione del firewall poich i nomi simbolici possono essere utilizzati al posto degli indirizzi di rete numerici laddove vengono richieste tali informazioni Gli elementi aggiunti qui sono visualizzati anche automaticamente in elenchi a discesa in cui possibile specificare gli indirizzi di rete Notare che gli indirizzi di rete vengono specificati in relazione all indirizzo di base della rete e non con un indirizzo appartenente alla rete quale l indirizzo IP del firewall Se non si conosce il significato del termine indirizzo di rete contattare il service provider di Internet ISP L utilizzo di
99. a quale possibile effettuare le connessioni e configurare EnterNet FireWall Logger Per ulteriori informazioni sulle modalit di configurazione e di utilizzo del sistema di registrazione consultare il capitolo 9 Auditing da EnterNet Firewall Query Log Receivers Consente di visualizzare lo strumento per la ricerca dei dati di log Per ulteriori informazioni su questo strumento consultare la sezione 9 Auditing da EnterNet Firewall 7 2 6 Menu View Le opzioni del menu View consentono di specificare le modalita di visualizzazione v Toolbar delle informazioni da parte di FireWall v Status Bar Manager Eventuali modifiche a questo menu Refresh non influenzeranno i dati salvati o i firewall esistenti v Show templates v Show inactive Dock Firewall list Toolbar Consente di visualizzare o nascondere la barra degli strumenti descritta nel paragrafo 7 2 1 Status Bar Consente di visualizzare o nascondere la barra di stato nella parte inferiore della finestra principale EnterNet FireWall Manager Refresh Consente di avviare una nuova ricerca sullo stato di tutti i firewall nel database di amministrazione Se sono presenti pit firewall e una query sullo stato gi in esecuzione necessario attendere che questa venga completata prima di iniziarne una nuova Show templates Consente di includere nell elenco dei firewall i modelli di configurazione esistenti Tali configurazioni vengono visualizzate n
100. affico in eccesso nelle precedenze superiori alla precedenza di massimo carico viene passato in quest ultima che in questo esempio 0 bene ricordare che i limiti nelle precedenze superiori alla precedenza di massimo carico non limitano il traffico Questi limiti agiscono solo sul volume di traffico che attraversa la precedenza specifica In questo caso il limite di 96 kbps nella precedenza 1 indica che possibile consentire il passaggio di 96 kbps di traffico con precedenza 1 nel pipe std in e che questo traffico in effetti passer a meno che ovviamente non si abbia altro traffico con precedenze pi elevate Configurazione del traffico Se si prova a consentire il passaggio di oltre 96 kbps di traffico con precedenza 1 il traffico in eccesso deve contendere la rimanente larghezza di banda al resto del traffico ed affrontare una competizione del tipo first come first served come tutte le connessioni a Internet Nel corso del capitolo verranno descritti il raggruppamento e il bilanciamento due soluzioni che possono migliorare la situazione 10 2 2 4 Banda garantita differenziata Come gia stato detto il metodo appena illustrato per l implementazione della banda garantita presenta un piccolo problema ovvero non particolarmente flessibile Se ad esempio si desidera assegnare una specifica banda di 32 kbps al traffico telnet e una banda di 63 kbps al traffico SSH possibile impostare un limite da 32 k
101. aggior parte di questi componenti non stata progettata per l utilizzo su reti pubbliche in cui si trovano intrusi indesiderati che possono sfruttare le funzionalit aggiuntive ed accedere facilmente nel sistema Purtroppo i sistemi moderni vengono spesso commercializzati con tali componenti gi integrati per semplificare l utilizzo del programma Una buona precauzione da adottare di controllare tutti i sistemi collegati a Internet client e server e di rimuovere le funzioni non necessarie 2 5 2 Utenti inesperti di reti protette Nessun firewall al mondo in grado di proteggere una rete sicura dai danni provocati da utenti inesperti Se questi collaborano in qualche modo con un intruso indesiderato ad esempio aprendo un programma sconosciuto ricevuto per posta elettronica quale merryxmas2001 exe rischiano di provocare danni maggiori rispetto ai bug presenti nelle applicazioni e nei sistemi operativi Introduzione alla protezione di rete Prima di procedere alla protezione delle reti di un azienda sarebbe pertanto opportuno effettuare un accurata analisi delle operazioni da autorizzare o meno ai propri utenti Il risultato di questa indagine dovrebbe portare alla stesura di alcuni criteri di protezione da applicare a tutti i settori dell azienda a partire dall amministrazione importante che gli utenti siano a conoscenza dei criteri utilizzati e dei motivi per i quali necessario rispettarli Solo
102. ak Overall peak 100 11 15 30 5 MBit s 2 36 2 98 3 62 500 199 499 539 La finestra mostra tre diagrammi uno accanto all altro Il diagramma di destra visualizza le statistiche ogni secondo Il diagramma centrale mostra i valori medi ogni minuto Il diagramma di sinistra mostra i valori medi ogni ora I grafici possono essere aggiunti alla visualizzazione delle statistiche selezionando il menu Plot oppure facendo clic con il pulsante destro sulla visualizzazione stessa che aprir lo stesso menu Il menu Plot contiene il sottomenu FireWall da cui possibile accedere alle statistiche globali del firewall Inoltre include altri sottomenu i cui nomi variano in base alle interfacce del firewall che contengono informazioni su ciascuna interfaccia specifica EnterNet FireWall Manager 7 4 1 Statistiche relative al firewall e CPU Il carico percentuale sulla CPU del firewall e Fwd Bit s Numero di bit al secondo inviati attraverso il firewall ent Fwd Bit s e Fwd Pkt s Numero di pacchetti al oi secondo inviati attraverso il firewall Conne ICMP Out e Buf use Percentuale utilizzata dei buffer relativi al pacchetto del firewall e Conns Numero di connessioni aperte mediante regole Allow o NAT Nessun collegamento aperto per il traffico autorizzato mediante le regole FwdFast tale traffico non incluso in questo grafico e ICMP out Numero di pacchetti ICMP inviati dal firewall Queste possono ess
103. ale regola diventa ancora pi specifica autorizzando solo il traffico destinato all indirizzo IP interno del firewall UDP porta 999 Senza questa regola non potr funzionare l amministrazione remota dalla rete interna EnterNet FireWall 179 NAT Jint intnet all nets Std La regola 6 consente la traduzione dinamica dell indirizzo per tutto il traffico proveniente dalla rete interna verso l esterno In questa regola sono comprese le connessioni interne agli indirizzi pubblici tramite i quali sono pubblicati il server Web e di posta Di conseguenza le connessioni originate internamente verso questi server saranno tradotte dinamicamente Tale approccio consentir ai log del server di visualizzare l indirizzo IP del firewall invece dei singoli indirizzi privati Ci non pu essere evitato quando si utilizza questa struttura di rete e si desidera comunicare con i server privati mediante gli indirizzi pubblici Per un approfondimento sui relativi problemi consultare la sezione 8 1 Traduzione degli indirizzi Allow ANY all nets wwwsrv pub 32 TCP ALL gt 80 Allow ANY all nets mailsrv pub 32 TCP ALL gt 25 Le regole 7 e 8 consentono l accesso del traffico agli indirizzi pubblici dei server Web e di posta rispettivamente le porte 80 e 25 Gli indirizzi di destinazione saranno inoltre tradotti secondo le regole SAT descritte in precedenza 9 Reject
104. all Tali opzioni vengono utilizzate nei singoli pacchetti ACK piuttosto che nelle serie complete per aumentare le prestazioni delle connessioni nelle quali si verifica una grande perdita di dati Utilizzati anche dal fingerprinting del sistema operativo SACK rappresenta un occorrenza comune nelle reti moderne Impostazione predefinita ValidateLogBad EnterNet FireWall Manager TCPOPT_TSOPT Consente di definire le modalita di gestione delle opzioni relative all indicatore della data e ora da parte del firewall Come stabilito dal metodo PAWS Protect Against Wrapped Sequence numbers TSOPT viene utilizzato per evitare che i numeri di sequenza cifre a 32 bit superino il limite massimo senza che il destinatario ne sia a conoscenza Normalmente questo non rappresenta un problema Tramite TSOPT alcuni stack TCP ottimizzano la loro connessione misurando il tempo impiegato da un pacchetto per arrivare a destinazione Quindi possibile utilizzare queste informazioni per rinviare il pacchetto in modo pi veloce Utilizzato anche dal fingerprinting del sistema operativo TSOPT rappresenta un occorrenza comune nelle reti attuali Impostazione predefinita ValidateLogBad TCPOPT_ALTCHKREQ Consente di definire le modalit di gestione delle opzioni relative alle richieste di checksum alternate da parte del firewall Originariamente queste opzioni erano state progettate per garantire l utilizzo di migliori checksum in TCP durante le f
105. all List _ Name__ Address Core ver_ Uptime Core cfa DB ofa Last modified A 1 200 hisatid Down 1814 05 Database New Firewall Ctrl N Delete Firewall Advanced Console Statistics Realtime Log Properties Operazioni preliminari Fare clic con il pulsante destro del mouse sul nuovo firewall e quindi selezionare Configure dal menu a discesa Verra visualizzata la finestra di configurazione del firewall Per ulteriori informazioni sulla visualizzazione della configurazione consultare il capitolo 7 EnterNet FireWall Managergnternet FireWall Manager pi avanti Verra visualizzata la regola per il firewall Se le funzioni di base descritte qui di seguito soddisfano le proprie esigenze non sara necessario apportare modifiche 6 4 1 Indirizzi di rete localeSelezionare la scheda Nets per modificare le impostazioni degli indirizzi di rete E Configuration of gw myorganisation 192 168 123 1 Settings Hosts Nets Pipes Interfaces ARP Routes Access Rules Loghosts Remotes Net Addr Comments 192 168 123 0 24 Internal network the one that is protected 194 1 2 0 24 External network the one connected directly to the external 0 0 0 0 0 all possible networks including intnet and extnet A questo punto necessario modificare gli indirizzi per le reti intnet e extnet EnterNet FireWall consente di definire gli indirizzi di rete in modo diverso
106. all Manager 7 3 5 1 Finestra di dialogo Total CS Limit Prec Kbps Pps Questa finestra di dialogo consente di A specificare i limiti della larghezza di banda SS En mma e del numero di pacchetti al secondo per H IC ciascuna precedenza nel pipe nonch per il 3 totale del pipe Le limitazioni della e a larghezza di banda sono definite in Kbps O iz kilobit per secondo Tota po foa Un campo vuoto rappresenta un valore illimitato Co cma 7 3 5 2 Finestra di dialogo User Limit Questa finestra di dialogo consente di Set Per User Limits specificare i limiti della larghezza di banda Prec Kbps di ciascun utente e del numero di pacchetti al secondo per ciascuna precedenza dell utente nonch per il totale della banda allocata all utente Le limitazioni della larghezza di banda sono definite in Kbps kilobit per secondo Un campo vuoto rappresenta un valore illimitato LLL 11 Total 512 Il valore user viene controllato dalla colonna di raggruppamento cre EnterNet FireWall Manager 7 3 6 Scheda Interfaces E Configuration of gw myorganisation 192 168 123 1 Settings Hosts Nets Pipes Interfaces aRP Routes Access Rules Loghosts Remotes Name Connect IP Addr Broadcast Addr Comments fint PCISLOTSBUSO ipint Intemal interface ext PCI SLOT 10 BUS 0 ip_ext br_ext External interface La scheda Interfaces specifica le interfacce s
107. aneo per ricevere una nuova configurazione dalla rete Una volta verificata la configurazione questo viene spostato nel file FWCore cfg e Security bin Utilizzato per calcolare le chiavi di crittografia con cui devono essere crittografate tutte le comunicazioni verso il firewall Contenuto di ODI e Lsl com ODI Link Support Layer e Net cfg Impostazioni della scheda di rete EnterNet FireWall Manager crea automaticamente questo file quando viene selezionato Create Boot Media o Save to Boot Media nel menu FireWall e NetStart bat I comandi necessari per il caricamento dei driver della scheda di rete EnterNet FireWall Manager crea automaticamente questo file quando viene selezionato Create Boot Media o Save to Boot Media nel menu FireWall Inoltre in questa directory saranno memorizzati i file dei driver ODI per ogni tipo di scheda di rete utilizzata se vengono impiegati i driver ODI invece dei driver integrati 170 EnterNet FireWall 8 4 AN Considerazioni generali prima della configurazione e Per tutti gli elenchi di regole ad esempio Access e Rules viene eseguita la prima regola compatibile E del tutto indifferente se ad esempio esiste una regola alla riga 20 che autorizza il passaggio del protocollo SMTP a un server di posta interno quando invece la regola della riga 10 vieta l accesso a tutta la rete interna e Se si utilizza una zona demilitarizzata possibile bloccare le comunicazioni dall are
108. ante le regola NAT per i seguenti motivi e Il protocollo richiede crittograficamente che gli indirizzi rimangano inalterati questo si applica a molti protocolli VPN e Il protocollo inserisce gli indirizzi IP all interno dei dati di livello TCP o UDP e richiede successivamente che gli indirizzi visibili a livello IP siano gli stessi di quelli inseriti nei dati Alcuni esempi includono FTP e gli accessi ai domini NT mediante NetBIOS e Entrambele parti tentano di aprire una nuova connessione dinamica verso gli indirizzi visibili a quella parte In alcuni casi questo pu essere risolto modificando l applicazione o la configurazione del firewall Non esiste un elenco definitivo dei protocolli che supportano la traduzione degli indirizzi Generalmente i protocolli VPN non possono essere tradotti Inoltre pu risultare difficile tradurre i protocolli che aprono collegamenti secondari oltre al collegamento iniziale Alcuni protocolli su cui difficile eseguire la traduzione degli indirizzi possono essere gestiti da algoritmi sviluppati specificatamente per leggere e o modificare i dati dell applicazione Questi vengono comunemente chiamati Application Layer Gateways oppure Application Layer Filters EnterNet FireWall 153 8 1 7 Esempi di traduzione degli indirizzi Questa sezione evidenzia alcuni esempi di traduzione statica e dinamica degli indirizzi 8 1 7 1 Server pubblicamente accessibile con un indirizzo privato in un
109. ard che pu essere letto e gestito facilmente dalla maggior parte dei computer e dei sistemi operativi e Scegliendo DOS come piattaforma da cui eseguire il software del firewall possibile utilizzare anche altri driver ODI per schede di rete non supportate dai driver integrati Si tratta di uno standard che viene comunemente accettato dal mercato Praticamente tutte le schede di rete sono fornite di driver ODI In questo modo non necessario scrivere i driver per altre schede di rete e aggiornarle ogni volta che vengono messe in vendita nuove schede Questo consente di offrire alla clientela un miglior supporto per l hardware del firewall Domande frequenti FAQ e Inoltre l utilizzo di DOS invece di altri sistemi operativi pi grandi consente di aumentare la sicurezza e la stabilit di EnterNet FireWall Molte violazioni di altri firewall infatti sono dovute alle debolezze di implementazione della rete del sistema operativo che sta alla base DOS non pu essere violato dal momento che non dispone di uno stack di rete e DOS non ha grandi requisiti hardware Utilizzando DOS invece di un vero sistema operativo i requisiti hardware per eseguire EnterNet FireWall sono notevolmente inferiori rispetto ad altri firewall che per la loro funzionalit si basano su sistemi operativi pi vasti e complessi In questo modo possibile ridurre i costi che devono sostenere gli utenti finali Dopo aver utilizzato uno scanner di por
110. arder in una zona demilitarizzata a cui le reti esterne possono inviare la posta Il Mail Forwarder invia quindi la posta al server di posta interno Maximum MSS TCP il valore che determina il quantitativo di Segment Size dati che pu essere inviato tramite TCP in ciascun pacchetto Il valore dovrebbe essere determinato dalle due estremit in modo da non causare frammentazione a livello di IP Megabits per La velocit di rete viene misurata in Mbps il numero Second di bit zero e uno che pu attraversare la rete ogni secondo Un byte che l unit di misura dei file costituita da otto bit Metropolitan Una rete MAN costituita solitamente da una rete a Area Network dorsale veloce composta da anelli in fibra in grado di connettere utenti di una stessa citt reciprocamente e ad Internet Identico a CAN MSS Vedere Maximum Segment Size MTU Vedere Maximum Transmission Unit NAT Network Address Translation un termine che comprende tutte le forme di traduzione di indirizzo Nell insieme di regole di EnterNet FireWall NAT si riferisce alla traduzione dinamica di indirizzo NAT hide Vedere anche SAT NetBIOS Un protocollo di rete utilizzato da Microsoft Windows per condividere file accedere a domini che pu essere trasportato direttamente su Ethernet mediante NetBEUI ma anche mediante TCP IP NIC NIC l abbreviazione di Network Interface Card ma anche di Network Information Centre 304 Glossar
111. are un flusso di pacchetti presso tutte le porte dell indirizzo che interessa e controllare se alcuni di essi attraversano il firewall Molti firewall consentono il passaggio di tutti i pacchetti per un breve periodo di tempo durante l avvio prima che venga caricato il software del firewall Anche EnterNet FireWall presenta questo problema No Questo problema si presenta solo nel caso di sistemi operativi che hanno i propri stack di IP mentre DOS non implementa l instradamento Quando il software di EnterNet FireWall viene avviato sono immediatamente disponibili tutte le funzionalit compreso l insieme di regole In questo modo non si ha alcun momento iniziale di vulnerabilit possibile installare EnterNet FireWall su un disco rigido S Con questa versione per possibile che si presentino alcuni inconvenienti Non possibile importare o esportare in maniera semplice i file di configurazione da a floppy Ci significa che necessario copiare manualmente tutti i dati al disco e dal disco Detto questo eseguire un firewall da un installazione su disco rigido funziona in maniera eccellente in particolare per quanto riguarda l amministrazione e l aggiornamento del software in remoto e la riduzione del tempo di avvio D possibile installare EnterNet FireWall su un disco Flash S Un disco Flash da 2 MB sufficiente per installare EnterNet FireWall v6 0 e un disco da 4 MB dovrebbe essere sufficient
112. aree intere viene utilizzato il protocollo TCP In questa configurazione l accesso limitato ad un singolo server esterno 200 EnterNet FireWall Descrizione della sezione Rules L insieme di regole di questo modello di configurazione pu essere riassunto nel modo seguente Consente tutte le connessioni originate dall interno tranne NetBIOS tramite traduzione dinamica dell indirizzo Consente le comunicazioni NetBIOS dalla rete interna a DMZ mediante traduzione dinamica dell indirizzo Consente l accesso HTTP a un indirizzo pubblico che a sua volta viene tradotto staticamente in un server Web con indirizzo privato sulla rete DMZ Consente l accesso SMTP a un indirizzo pubblico che a sua volta viene tradotto staticamente in un server di posta con indirizzo privato sulla rete DMZ Consente le query DNS mediante UDP ad un indirizzo pubblico che a sua volta viene tradotto staticamente in un server DNS con indirizzo privato sulla rete DMZ Consente il trasferimento dell area DNS mediante TCP da un server DNS esterno specifico con la stessa procedura utilizzata per le query DNS come descritto sopra Consente ai server DNS che si trovano nell area DMZ di comunicare con tutte le reti tranne quella interna Gli altri server nell area DMZ devono eseguire le proprie query DNS mediante il server DNS e non attraverso il firewall Consente ai sistema di inoltro della posta che si trova nell area DMZ
113. asi di negoziazione Tuttavia i sistemi standard attuali non sono in grado di comprendere queste funzioni Nemmeno EnterNet FireWall sa riconoscere gli algoritmi checksum ad eccezione di quelli standard Pertanto queste opzioni non vengono mai accettate La funzione ALTCHKREQ stata eliminata nelle reti odierne Impostazione predefinita StripLog TCPOPT_ALTCHKDATA Consente di definire le modalit di gestione delle opzioni relative ai dati di checksum alternate da parte del firewall Tali opzioni vengono utilizzate per trasportare le checksum alternate se autorizzato dalla funzione ALTCHKREQ precedentemente descritta In genere questa funzione non disponibile nelle reti Impostazione predefinita StripLog TCPOPT_CC Consente di definire le modalit di gestione delle opzioni relative ai conteggi delle connessioni da parte del firewall Impostazione predefinita StripLogBad EnterNet FireWall Manager TCPOPT_OTHER Consente di definire le modalita di gestione da parte del firewall delle opzioni TCP non incluse nelle impostazioni precedenti In genere queste funzioni non sono disponibili nelle reti odierne Impostazione predefinita StripLog TCPSynUrg Consente di definire le modalita di gestione da parte del firewall dei pacchetti TCP che includono flag SYN Synchronize e flag URG Urgent data attivati La presenza di un flag SYN indica che sta per essere aperta una nuova connessione Un flag URG invece si riferisce ad
114. ath Service SQL Services SQL Services Network News Transfer Protocol Network News Transfer Protocol Network Time Protocol Network Time Protocol Password Generator Protocol Password Generator Protocol cisco FNATIVE cisco FNATIVE cisco TNATIVE cisco TNATIVE cisco SYSMAINT cisco SYSMAINT Statistics Service statsrv netbios rpc netbios rpc netbios ns netbios ns netbios dgm netbios dgm netbios ssn netbios ssn imap4 imap4 sql net sql net sqlsrv sqlsrv pemail srv pemail srv snmp snmp snmptrap snmptrap print srv print srv xdmcp xdmcp nextstep nextstep bgp bgp 133 udp 135 tcp 135 udp 137 tcp 137 udp 138 tcp 138 udp 139 tcp 139 udp 143 tcp 143 udp 150 tcp 150 udp 156 tcp 156 udp 158 tcp 158 udp 161 tcp 161 udp 162 tcp 162 udp 170 tcp 170 udp 177 tcp 177 adp 178 tcp 178 udp 179 tcp 179 udp Internet e TCP IP Statistics Service NETBIOS Remote Procedure Call NETBIOS Remote Procedure Call NETBIOS Name Service NETBIOS Name Service NETBIOS Datagram Service NETBIOS Datagram Service NETBIOS Session Service NETBIOS Session Service Internet Mail Access Protocol v4 Internet Mail Access Protocol v4 SQL NET SQL NET SQL Service SQL Service PCMail Server PCMail Server SNMP SNMP SNMPTRAP SNMPTRAP Network PostScript Network PostScript X Display Manager Control Protocol X Display Manager Control Protocol NextStep Window Server NextStep Window Server Border Gateway Proto
115. ati di log a destinatari syslog Syslog un protocollo standard per l invio dei dati di log a loghost sebbene non esista un formato standardizzato di tali messaggi Il formato utilizzato da EnterNet FireWall adatto ad operazioni automatiche di elaborazione filtro e ricerca Nonostante il formato esatto di ogni voce di log dipenda dal funzionamento del destinatario syslog spesso sono molto simili Inoltre anche la lettura dei log dipende dal funzionamento del destinatario syslog Un daemon syslog su server Unix generalmente legge i log come file di testo riga per riga La maggior parte dei destinatari syslog premettono ad ogni voce di log un indicatore di data e ora nonch l indirizzo IP della macchina che ha inviato i dati di log Feb 5 2000 09 45 23 gateway ourcompany com Segue il testo scelto dal mittente Tutte le voci di log provenienti da EnterNet FireWall sono precedute da EFW e da una categoria ad esempio DROP Feb 5 2000 09 45 23 gateway ourcompany com EFW DROP Il testo che segue dipende dall evento registrato Per facilitare l elaborazione automatica di tutti i messaggi EnterNet FireWall trascrive tutti i dati di log in un unica riga di testo Tutti i dati che seguono il testo iniziale vengono presentati nel formato name value In questo modo i filtri automatici possono trovare facilmente i valori cercati senza dover presupporre che un determinato dato si trovi in una certa posizione nella voce di log
116. azione memorizzata nel database di amministrazione come un file di testo Pertanto sar possibile modificarla senza utilizzare l ambiente grafico ed inoltre sar possibile stampare il file su carta per conservarne una copia nei propri archivi oppure per inviarle ad altri utenti Quando si utilizza l editor di configurazione basato su testo nel menu File disponibile l opzione Open from Boot Media che consente di sostituire il file di configurazione in uso con quello incluso nel supporto di avvio Eventuali modifiche nel file di configurazione generano una ricerca relativa al caricamento automatico della nuova configurazione sul firewall corrente Save to Boot Media Consente di salvare la configurazione e la chiave di crittografia del firewall selezionato in un supporto di avvio di EnterNet FireWall All interno di FWCore_O cfg verr copiato anche il file FWCore cfg incluso nella directory Firewall del supporto di avvio Se il programma stabilisce che il supporto utilizzato non corrisponde a quello di avvio di EnterNet FireWall verr richiesto di crearne uno nuovo L opzione Create Boot Media descritta pi avanti consente di ottenere gli stessi risultati Per maggiori informazioni sul contenuto del supporto di avvio vedere la sezione 8 3 Supporti di avvio di EnterNet FireWall EnterNet FireWall Manager Create Boot Media Consente di creare un supporto di avvio contenente i file di sistema per EnterNet FireWall Tale s
117. blemi Innanzitutto sono stati rilevati errori durante la negoziazione di una corretta velocit di collegamento Inoltre i driver integrati in EnterNet FireWall non supportano questo tipo di schede in quanto molto diverse dai modelli B e C Se non possibile sostituire la scheda NIC con i modelli 905B o 905C consigliabile utilizzare il driver ODI 3c90x com Schede di rete non collegate correttamente Verificare gli indicatori di collegamenti di tutte le schede di rete Se non viene visualizzata alcuna indicazione di collegamento possibile che si sia verificato un problema con cavi o che le impostazioni della scheda di rete non siano corrette Vedere di seguito Operazioni preliminari Impostazioni hardware delle schede di rete non corrette E possibile che le impostazioni hardware delle schede di rete siano errate Verificare che le impostazioni del tipo di bus utilizzato corrispondano a quelle riportate dal software di configurazione della scheda di rete Non utilizzare le informazioni sullo slot PCI visualizzate nella schermata di avvio del computer o i numeri della scheda madre Tipo di supporto o velocit non corretti possibile che le schede di rete siano impostate per un tipo di supporto o per una velocit non corretta oppure che le schede abbiano rilevato automaticamente tali impostazioni in modo errato Controllare quindi le impostazioni in oggetto nel software di configurazione della scheda di rete Tipo di cavo
118. bps per la precedenza 1 un limite da 64 kbps per la precedenza 2 e consentire il passaggio dei diversi tipi di traffico attraverso le rispettive precedenze Questo approccio tuttavia presenta due problemi evidenti e Quale traffico da considerare pi importante Questa domanda non pone grossi problemi in questo caso ma diventa pi difficile mano a mano che il contesto di gestione del traffico diventa pi complesso e Il numero di precedenze estremamente limitato Con otto precedenze possibile creare solo otto garanzie differenziate Anche superando il problema dell importanza del traffico questo rimarrebbe comunque un grosso limite Per risolvere questo problema necessario creare due nuovi pipe uno per il traffico telnet e l altro per il traffico SSH simile al pipe surf creato in precedenza Innanzitutto necessario rimuovere il limite da 96 kbps dal pipe std in e quindi creare due nuovi pipe che verranno denominati ssh in e telnet in Impostare la precedenza predefinita per entrambi i pipe a e i limiti di precedenza 1 rispettivamente a 32 e 64 kbps Configurazione del traffico Min Def 0 jo Max Grouping Net Total Limits Per User Limits Dyn Total 256Kb Total 256Kb Total 128Kb Comments P1 32Kb Dividere quindi la regola definita in precedenza relativa alle porte 22 e 23 in due regole una per ciascuna porta Po
119. cchetto L impostazione DroppedFrags specifica il comportamento del firewall Le impostazioni possibili per questa regola sono le seguenti e NoLog Non viene eseguita alcuna registrazione su ci che definito nel set di regole e LogSuspect Registra i singoli frammenti identificati nei tentativi di riassemblaggio come frammenti sospetti e LogAlIl Registra sempre i singoli frammenti Impostazione predefinita LogSuspect EnterNet FireWall Manager DuplicateFrags Se viene ricevuto pi di una volta lo stesso frammento possibile che questo sia stato duplicato in un punto qualsiasi del tragitto verso il destinatario oppure che un pirata informatico stia cercando di sabotare il riassemblaggio del pacchetto L opzione DuplicateFrags determina se tale frammento sar registrato Notare che l impostazione DuplicateFragData pu registrare tali frammenti se i dati contenuti in essi non corrispondono Le impostazioni possibili sono le seguenti e NoLog In normali circostanze non viene eseguita alcuna registrazione e LogSuspect Registra i frammenti duplicati se nella procedura di riassemblaggio sono stati identificati frammenti sospetti e LogAlIl Registra sempre i frammenti duplicati Impostazione predefinita LogSuspect FragmentedICMP Diversi dal protocollo ICMP ECHO Ping i messaggi ICMP generalmente non devono essere frammentati in quanto contengono pochi dati e la frammentazione non si rend
120. cedenza 0 al traffico con precedenza 2 prima del traffico con precedenza 1 e cos via Per determinare a quale precedenza appartenga il traffico di rete viene assegnato un numero di precedenza a ciascun buffer a pacchetto prima di venire inviato a un pipe La sezione Rules controlla la precedenza assegnata In questo modo possibile ordinare il traffico per priorit in base a estensione IP numero di protocollo numero di porta e cos via allo stesso modo in cui normalmente viene filtrato il traffico Questo argomento verr comunque trattato in maniera pi approfondita nel seguito del capitolo Configurazione del traffico Una volta configurato il pipe possibile definire il numero di precedenze nel pipe indicando una precedenza minima Minimum precedence e una precedenza massima Maximum precedence I pacchetti in entrata vengono regolati automaticamente dal pipe in modo che siano rispettati tali limiti Se la priorit di un pacchetto troppo bassa viene adeguata alla precedenza minima viceversa se troppo alta Se un pacchetto non ha precedenza viene assegnata la precedenza predefinita Default precedence La limitazione della larghezza di banda viene eseguita all interno di ciascuna precedenza possibile specificare limiti diversi di larghezza di banda per ciascuna precedenza Tali limiti saranno espressi in kilobit per secondo e o in pacchetti per secondo G gt La precedenza indicata come minima ha un ruol
121. che siano le applicazioni e gli utenti ad effettuare queste scelte Per tale motivo risulta adatto per la gestione della larghezza di banda di una piccola rete LAN Local Area Network e in uno o pi punti di congestione nelle grandi reti MAN o WAN 10 1 1 Nozioni di base su Traffic Shaping Il modo pi semplice per ottenere QoS in una rete sia dal punto di vista della sicurezza che della funzionalit affidare ai componenti di rete non alle applicazioni il compito di controllare il traffico in determinati punti di congestione Traffic shaping si ottiene misurando e accodando i pacchetti IP in transito rispetto a vari parametri configurabili possibile creare valori limite della velocit e garanzie di traffico differenziate in base alla sorgente alla destinazione ed ai parametri di protocollo nello stesso modo in cui vengono implementate le regole sui firewall Traffic shaping consente di e Applicare limiti di larghezza di banda accodando i pacchetti che superano i limiti stabiliti nella configurazione e inviandoli in seguito quando la larghezza di banda necessaria inferiore e Scartare pacchetti se i buffer del pacchetto sono pieni consigliabile scegliere il pacchetto da scartare tra quelli che causano la congestione e Ordinare il traffico in base alla priorit a seconda delle scelte dell amministratore Se il traffico ad alta priorit aumenta quando la linea occupata necessario limitare momentaneame
122. chede di rete installate nel firewall Consente di configurare gli IRQ della scheda i numeri degli slot e cosi via Se si utilizzano i driver ODI invece di quelli integrati e si modificano le impostazioni hardware di una o pi schede di rete le modifiche apportate non saranno effettive se si invia la configurazione al firewall tramite la rete necessario utilizzare i comandi Create Boot Media o Save To Disk del menu FireWall Consultare il paragrafo 7 2 3 1 Menu FireWall Advanced menu FireWall Advanced e Name Specifica un nome simbolico per l interfaccia Questo nome limitato a sette lettere e sar utilizzato in molti altri punti della configurazione e Connect Mostra un breve riepilogo della configurazione hardware relativa alla scheda di rete Facendo clic su questa colonna si apre una finestra di dialogo che contiene le impostazioni sull hardware Consultare il paragrafo 6 4 4 Configurazione dell interfacciaconfigurazione dell interfaccia e IP Addr Indirizzo IP dell interfaccia Si tratta di indirizzi che possono essere utilizzati per eseguire il ping sul firewall e controllarlo da una postazione remota Inoltre vengono utilizzati come indirizzo di origine per le connessioni tradotte dinamicamente Per simulare l effetto di un interfaccia che dispone di uno o pi indirizzi IP possibile pubblicare tali indirizzi sull interfaccia mediante ARP Consultare il paragrafo 7 3 7 Scheda ARP EnterN
123. chi esterni che utilizzano proprio il server Web come intermediario Non bisogna sottovalutare gli effetti di questa vulnerabilit Persino i pirati informatici meno esperti riescono ad accedere in pochi minuti a reti protette utilizzando tecniche ormai note e standardizzate progettate appositamente per sfruttare questo tipo di buchi La difesa pi semplice da tali attacchi consiste nell aumentare la segmentazione della rete Se si posiziona l origine dei dati ad esempio un server SQL in un segmento separato della rete in modo da impedire le comunicazioni dirette con il resto del sistema possibile limitare i danni provocati dagli attacchi tramite i buchi Nota in questo caso il problema non rappresentato dai pacchetti IP instradati alla zona demilitarizzata tramite i server il cui inoltro potrebbe venire disabilitato per non garantire pi alcuna protezione Il rischio maggiore consiste nel fatto che intrusi indesiderati possono eseguire comandi sui server proprio come da una qualsiasi tastiera di un computer dell azienda Tuttavia anche se il canale tra la zona demilitarizzata e la rete stessa costituito da protocolli non instradabili quali NetBEUI una rete interna pu comunque essere soggetta ad attacchi pericolosi Anche in questo caso il problema non rappresentato dai pacchetti IP che viaggiano da reti non protette verso una rete interna Piuttosto c il rischio che macchine non protette eseguano comand
124. chiave sar possibile eseguire EnterNet FireWall in modalit demo solo per due ore quindi il programma si arrester e sar necessario riavviarlo per continuare 5 Aggiornamento dalla versione 5 x Leggere questa sezione se si sta effettuando un aggiornamento da una versione precedente di EnterNet FireWall lt o o gt It will help explain how the upgrade procedure is carried out 9 Di seguito verr descritto come eseguire la procedura di aggiornamento lt 9 Se invece la prima volta che si installa EnterNet FireWall passare al capitolo 6 Operazioni preliminari operazioni preliminari EnterNet FireWall 6 0 utilizza un nuovo protocollo di gestione remota pi sicuro rispetto a quelli inclusi nelle precedenti versioni del firewall Purtroppo la nuova versione di FireWall Manager non in grado di controllare in remoto le versioni precedenti Viceversa le versione precedente di FireWall Manager riesce a controllare la nuova versione 6 0 solo se il vecchio protocollo di gestione non disabilitato nel software Poich per motivi di sicurezza non consigliabile lasciare attivo tale protocollo diventa necessario seguire una procedura specifica per aggiornare il nuovo software del firewall senza per perdere il controllo del firewall stesso Esistono due procedure per eseguire l aggiornamento 5 1 Procedura di aggiornamento 1 accesso fisico Utilizzare questa procedura se si ha accesso locale all hardware del fi
125. co di ritorno pu tornare all esterno del firewall dove viene ripristinato e inviato alla rete protetta Domande frequenti FAQ Bisogna pero tenere presente cosa accadrebbe se si utilizzassero indirizzi altrui e si tentasse di comunicare con quella rete Il risultato sarebbe che niente di quello che viene inviato raggiungerebbe la sua destinazione e che verrebbe instradato invece sulla propria rete Perch EnterNet FireWall viene eseguito sotto DOS Questo non riduce le sue prestazioni Una convinzione errata ma molto diffusa che le prestazioni dei software vengono ridotte se il software viene eseguito in un ambiente DOS Invece il software eseguito sotto DOS spesso ha prestazioni migliori dei software che vengono eseguiti sotto veri sistemi operativi Ci dovuto al fatto che le funzioni di multitasking di un sistema operativo sottraggono tempo al software per eseguire altre funzioni Sebbene sia vero che DOS ha capacit limitate dal momento che consente l esecuzione di un solo programma per volta l ambiente ideale per gli scopi di EnterNet Firewall poich consente il funzionamento ottimale del software In realt una volta avviato il software del firewall DOS non ha pi alcun fine pratico dal momento che il software del firewall diventa il sistema operativo in tempo reale e stato scelto di utilizzare DOS invece di scrivere i file di avvio per poter ottenere gratuitamente un file system stand
126. col Border Gateway Protocol Internet e TCP IP 277 audit audit prospero prospero irc irc at rtmp at rtmp at nbp at nbp at 3 at 3 at echo at echo at 5 at 5 at zis at zis at 7 at 7 at 8 at 8 ipx ipx dbase dbase imap3 imap3 fln spx 182 tcp 182 udp 191 tcp 191 udp 194 tcp 194 udp 201 tcp 201 udp 202 tcp 202 udp 203 tcp 203 udp 204 tcp 204 udp 205 tcp 205 udp 206 tcp 206 udp 207 tcp 207 udp 208 tcp 208 udp 213 tcp 213 udp 217 tcp 217 udp 220 tcp 220 udp 221 tcp Unisys Audit SITP Unisys Audit SITP Prospero Directory Service Prospero Directory Service Internet Relay Chat Protocol Internet Relay Chat Protocol AppleTalk Routing Maintenance AppleTalk Routing Maintenance AppleTalk Name Binding AppleTalk Name Binding AppleTalk Unused AppleTalk Unused AppleTalk Echo AppleTalk Echo AppleTalk Unused AppleTalk Unused AppleTalk Zone Information AppleTalk Zone Information AppleTalk Unused AppleTalk Unused AppleTalk Unused AppleTalk Unused IPX IPX dBASE Unix dBASE Unix Interactive Mail Access Protocol v3 Interactive Mail Access Protocol v3 Berkeley rlogind with SPX auth 278 Internet e TCP IP fln spx 221 udp Berkeley rlogind with SPX auth rsh spx 222 tcp Berkeley rshd with SPX auth rsh spx 222 udp Berkeley rshd with SPX auth pdap 344 tcp Prospero Data Access Protocol pdap 344 udp Prospero Data Access Protocol ulistserv 372 tcp Unix Listserv ulistserv 372 udp
127. comuni vengono predefiniti nella colonna Protocol della scheda Rules ma questa impostazione permette anche di filtrare i pacchetti con numeri di protocollo diversi Per un elenco di numeri di protocolli predefiniti consultare la sezione 11 1 Numeri di protocollo IP Se ad esempio si sceglie il protocollo IP numero 6 che corrisponde al TCP la regola verr applicata a tutti i pacchetti TCP indipendentemente dal numero della porta Sebbene non sia possibile applicare filtri pi specifici al protocollo in questione il firewall gestir il protocollo proprio come se venisse filtrato da una normale regola TCP o Ports In altre parole tutti test di coerenza relativi a flag opzioni frammentazione e cos via continueranno a funzionare 138 EnterNet FireWall Manager 7 3 10 6 Finestra Ports Params Regole NAT SAT Le normali finestre di dialogo Ports Params includono anche le impostazioni di traduzione dell indirizzo NAT e SAT Set ICMP Options Set Address M ni E a LI a CE AN LI free ml ni ok conca ICMP con impostazioni per la traduzione IPProto con la statica dell indirizzo traduzione statica dell indirizzo Set Port Options Pe I Give Established Connections OK cancel TCP UDP e Ports con impostazioni per la traduzione statica dell indirizzo Le regole di traduzione statica dell indirizzo includono sia gli indirizzi IP che le por
128. consentito il passaggio attraverso il pipe std in sono disponibili per il resto del traffico G gt Notare tuttavia che non si tratta di una garanzia di traffico per l esplorazione del Web Potrebbe essere considerata come una garanzia di traffico da 128 kbps per tutti gli elementi tranne l esplorazione del Web anche se in quest ultimo caso la competizione per la larghezza di banda segue la normale regola first come first served possibile poter raggiungere i 128 kbps ma potrebbe anche trattarsi dell equivalente di un modem a 2400 baud se la connessione intasata Configurazione del traffico 10 2 2 Precedenze Ogni pipe contiene otto precedenze o livelli di priorit numerati da 0 a 7 Ciascuna precedenza pu essere considerata come una coda separata nella quale possibile controllare il traffico di rete La precedenza 0 la precedenza di minore importanza mentre la precedenza 7 quella di maggiore importanza Precedence 7 Precedence 6 Precedence 5 Precedence 3 Precedence 2 Precedence 1 Precedence 4 Precedence 0 Le rispettive precedenze non hanno alcun carattere speciale Il loro significato viene definito esclusivamente dai limiti e dalle garanzie configurate L unica differenza nell importanza relativa dal momento che al traffico con precedenza 1 viene consentito il passaggio prima del traffico con pre
129. da EnterNet Firewall Auditing ovvero la capacit di monitorare le decisioni prese dal firewall una funzione vitale per i dispositivi di sicurezza di rete EnterNet FireWall offre diverse opzioni per la registrazione delle attivit EnterNet FireWall supporta tre tipi di auditing e log inviati a EnterNet FireWall Logger e log inviati a destinatari syslog e Visualizzazione dei log in tempo reale in FireWall Manager I dati di log non vengono archiviati nel firewall Nel momento in cui avviene una connessione i dati di log vengono inviati immediatamente a tutti i loghost Il formato di log utilizzato da EnterNet FireWall Logger estremamente dettagliato ed l unico formato supportato dallo strumento di analisi integrato del log di EnterNet FireWall Manager Il formato di log utilizzato per la registrazione ai syslog adatto all elaborazione e alla ricerca automatizzata e nei contesti in cui il syslog venga utilizzato da altre applicazioni di rete 9 1 Cosavieneregistrato da EnterNet FireWall EnterNet FireWall genera e invia dati di log a uno o pi ricevitori di log in varie situazioni Nel corso di questo capitolo ognuna di queste situazioni viene definita evento o evento di log Il caso pi ovvio in cui EnterNet FireWall genera tali eventi naturalmente quando il firewall stato configurato per registrare pacchetti che corrispondono a regole specifiche oppure che non superano i controlli di coerenza Audi
130. da comprendere evitando agli utenti di causare danni o violazioni della sicurezza e Iface Specifica i pacchetti di interfaccia destinati a quel percorso che devono essere inviati e Net Specifica l indirizzo di rete per quel percorso Come descritto in precedenza possibile utilizzare sia gli indirizzi numerici che i nomi di rete simbolici e Gateway Specifica l indirizzo IP dell hop successivo del router utilizzato per raggiungere la rete di destinazione Se la rete connessa direttamente all interfaccia del firewall non viene specificato alcun indirizzo gateway e Local IP L indirizzo IP specificato qui sara automaticamente pubblicato nell interfaccia corrispondente Questo indirizzo sar utilizzato anche come indirizzo del mittente nelle richieste ARP Se non viene specificato alcun indirizzo sar utilizzato l indirizzo IP dell interfaccia del firewall EnterNet FireWall Manager e Proxy ARP Specifica l interfaccia o le interfacce su cui il firewall deve pubblicare questo percorso mediante Proxy ARP Uno dei vantaggi che si pu ottenere con questa forma di annotazione consiste nel poter specificare un gateway per un particolare percorso senza che un percorso copra necessariamente l indirizzo IP del gateway oppure nonostante il percorso che copre l indirizzo IP del gateway venga normalmente instradato mediante un altra interfaccia La differenza tra questa forma di annotazione e quella
131. dati diversi con dimensioni di frammentazioni non corrette e cos via Le impostazioni possibili sono le seguenti e Drop Elimina il frammento non valido senza registrarlo Consente inoltre di ricordare che il pacchetto da riassemblare sospetto e questa informazione pu essere utilizzata per una registrazione successiva e DropLog Elimina e registra il frammento non valido Consente inoltre di ricordare che il pacchetto da riassemblare sospetto e questa informazione pu essere utilizzata per una registrazione successiva e DropPacket Elimina il frammento non valido e tutti i frammenti memorizzati in precedenza Ci non consente ad altri frammenti del pacchetto di passare durante i secondi ReasslllegalLinger e DropLogPacket Simile all opzione DropPacket ma consente anche di registrare l evento e DropLogAll Simile all opzione DropLogPacket ma registra anche gli altri frammenti appartenenti a questo pacchetto che arrivano durante i secondi ReasslllegalLinger La scelta di eliminare i singoli frammenti o bloccare l intero pacchetto dipende da due fattori e pi sicuro eliminare l intero pacchetto EnterNet FireWall Manager e Se inseguito al ricevimento di un frammento non valido si sceglie di eliminare l intero pacchetto i pirati informatici potranno bloccare la comunicazione inviando frammenti non validi durante un riassemblaggio interrompendo quasi tutte le comunicazioni Impos
132. dei server presenti nell area DMZ per evitare che finiscano sotto il controllo di un utente indesiderato EnterNet FireWall 191 2 Drop ANY all nets all nets UDP ALL gt 137 3 Drop ANY all nets all nets Ports ALL gt 135 139 LOG Le regole 2 e 3 consentono il blocco di tutte le comunicazioni NetBIOS ad eccezione di quelle consentite dalla regola 1 Come nell esempio 1 la risoluzione del nome NetBIOS portal37 UDP viene scartata senza essere registrata se si verifica molto spesso D altra parte tutte le altre porte dell intervallo 135 139 inclusa la porta 137 TCP vengono registrate e bloccate 4 SAT ANY all nets wwwsrv pub 32 TCP ALL gt 80 SetDest wwwsrv priv 80 5 SAT ANY fall nets mailsrv pub 32 TCP ALL gt 25 SetDest mailsrv priv 25 Le regole 3 e 4 consentono di implementare la traduzione statica dell indirizzo per la pubblicazione di un server Web o di posta tramite indirizzi pubblici Gli indirizzi pubblici vengono preimpostati nella sezione Hosts come equivalenti dell indirizzo IP esterno del firewall comunque possibile trasformarli in altri indirizzi pubblici traffico Quando viene soddisfatta una delle due regole il firewall ricorda che la traduzione dell indirizzo verr eseguita successivamente continuando a cercare una regola che consenta la connessione In questa configurazione la regola necessaria pu essere a seconda
133. delle circostanze 7 8 oppure 9 G gt Notare che queste due regole non consentono alcun passaggio di 6 Fwd int intnet intnet AII Questa regola consente al traffico proveniente dalla rete interna di ritornare sulla rete interna utilizzando l inoltro del pacchetto senza stato In questa configurazione il motivo dell esistenza di questa regola non molto evidente Se si prende in considerazione per una rete pi estesa in cui il firewall funziona da gateway predefinito per un gran numero di router interni questa regola pu risultare estremamente utile 192 EnterNet FireWall Nella maggior parte dei casi tale regola diventa ancora pit specifica autorizzando solo il traffico destinato all indirizzo IP interno del firewall UDP porta 999 Senza questa regola non potra funzionare l amministrazione remota dalla rete interna 7 NAT jint intnet all nets Std La regola 7 consente la traduzione dinamica dell indirizzo per tutto il traffico proveniente dalla rete interna verso l esterno In questa regola sono comprese le connessioni interne agli indirizzi pubblici tramite i quali sono pubblicati il server Web e di posta Le connessioni a questi indirizzi ne risultano tradotte dinamicamente purch siano interne Il motivo per cui vengono tradotti gli indirizzi delle connessioni interne all area DMZ che non si desidera rivelare la struttura della rete interna dei serv
134. dent Multicast 104 ARIS ARIS 105 SCPS SCPS 106 QNX QNX 107 A N Active Networks 108 IPComp IP Payload Compressions 2393 109 SNP Sitara Networks Protocol 110 Compaq Peer Compaq Peer Protocol 111 IPX in IP IPX in IP 112 VRRP Virtual Router Redundancy 113 PGM PGM Reliable Transport 114 Protocollo 0 hop 115 L2TP Layer 2 Tunnelling Protocol 116 DDX D II Data Exchange DDX 117 IATP Interactive Agent Transfer 118 STP Schedule Transfer Protocol 119 SRP Spectralink Radio Protocol 120 UTI UTI 121 SMP Simple Message Protocol 122 SM SM 123 PIP Performance Transparency 124 ISIS IPv4 ISIS over IPv4 125 FIRE 126 CRPT Combat Radio Transport 127 CRUDP Combat Radio User Datagram 128 SSCOPMCE 129 IPLT 272 Internet e TCP IP Solo alcuni dei numeri di protocollo elencati sono di uso comune nelle reti odierne Protocolli IP utilizzati molto frequentemente 1 ICMP Internet Control Message Protocol 6 TCP Transmission Control Protocol 17 UDP User Datagram Protocol Protocolli IP utilizzati frequentemente 47 GRE Generic Routing Encapsulation Utilizzato da PPTP 50 ESP Encapsulation Security Payload di IPsec e IPv6 51 AH Authentication Header di IPsec e IPv6 57 SKIP Standard VPN progettato originariamente da SUN 89 OSPF Open Shortest Path First Utilizzato dai router 94 IPIP IP in IP Utilizzato dal punto di arresto VPN 1 108 IPComp Compressione dei dati IPsec e IPv6 115 L2TP Layer 2 Tunneling Protocol Internet e
135. destip IN 192 168 123 1 192 168 123 255 1 2 3 4 _ Auditing da EnterNet Firewall Variabili predefinite Nelle istruzioni logiche possibile utilizzare numerose variabili predefinite Nella seguente tabella sono elencate le variabili attualmente definite Variabile Srcip Destip Srcenet Destenet Category Srcport Destport Ipproto Recviface Destiface Icmptype Icmpsrcip Icmpdestip Icmpsrcport Tipo di valore Indirizzo IPv4 Indirizzo IPv4 Indirizzo Ethernet Indirizzo Ethernet Stringa PAROLA PAROLA BYTE Stringa Stringa Stringa Indirizzo IPv4 Indirizzo IPv4 PAROLA Descrizione Indirizzo IPsorgente in formato a b c d Indirizzo IP di destinazione Indirizzo Ethernet sorgente Indirizzo Ethernet di destinazione Categoria dell evento registrato Esempio SYSTEM NETCON USAGE CONN DROP Porta sorgente da 0 a 65535 Porta di destinazione da 0 a 65535 Protocollo IP da 0 a 255 o il nome Esempio TCP UDP ICMP 99 Nome dell interfaccia di ricezione Esempio ext int dmz Nome dell interfaccia di destinazione Tipo di messaggio ICMP da 0 a 255 Esempio ECHO_REQUEST Indirizzo IP sorgente in pacchetto IP incapsulato ICMP Indirizzo IP di destinazione in pacchetto IP incapsulato ICMP Porta sorgente da 0 a 65535 in pacchetto IP incapsulato ICMP Auditing da EnterNet Firewall Icmpdestport PAROLA Porta di destinazione da 0 a 65535 in pacchet
136. di buffer da cui raramente i firewall riescono a proteggere il sistema Questo tipo di errore pu avvenire in tutte le applicazioni Ne consegue che gli intrusi indesiderati riescono a ingannare i computer protetti e a fare in modo che essi eseguano qualsiasi comando In questo caso l unica soluzione possibile di installare e utilizzare solo programmi sicuri e quindi specificamente progettati per essere immuni da questo tipo di attacchi Purtroppo quasi tutti gli attuali software non vengono sviluppati tenendo in considerazione questo problema Pertanto i sovraccarichi di buffer rappresentano l attacco basato su rete attualmente pi pericoloso poich coinvolgono la maggior parte dei programmi e virus e cavalli di Troia Anche se un firewall pu essere collegato a programmi antivirus a gateway di posta o ad altri dispositivi simili che consentono di aumentare la sicurezza importante ricordare che la funzione fondamentale di un firewall non prevede normalmente questo tipo di protezione e a volte poi pur utilizzando il firewall in combinazione con un programma antivirus pu succedere che i virus siano nascosti talmente bene da venire ignorati Inoltre un programma antivirus in grado di rilevare solo i virus che riconosce Se un malintenzionato crea un virus appositamente per attaccare un particolare sistema o un piccolo gruppo di utenti oppure se il cavallo di Troia o il virus in questione sono in circolazione da poco temp
137. di comunicare mediante SMTP con tutte le reti tranne quella interna Consente al sistema di inoltro della posta che si trova nell area DMZ di comunicare con l interfaccia DMZ del firewall mediante SMTP che a sua volta esegue la traduzione statica dell indirizzo verso il server di posta interno EnterNet FireWall 201 1 NAT jint intnet dmznet Ports ALL gt 135 139 La regola 1 autorizza le connessioni NetBIOS originate internamente verso un area DMZ mediante traduzione dinamica dell indirizzo Questa regola esplicita necessaria poich le regole 2 e 3 che seguono bloccano tutte le connessioni NetBIOS Il motivo per cui vengono tradotti gli indirizzi delle connessioni interne all area DMZ che non si desidera rivelare la struttura della rete interna dei server presenti nell area DMZ per evitare che finiscano sotto il controllo di un utente indesiderato 2 Drop ANY all nets all nets UDP ALL gt 137 3 Drop ANY all nets all nets Ports ALL gt 135 139 Le regole 2 e 3 consentono il blocco di tutte le comunicazioni NetBIOS ad eccezione di quelle consentite dalla regola 1 Come nell esempio 1 la risoluzione del nome NetBIOS portal37 UDP viene scartata senza essere registrata se si verifica molto spesso D altra parte tutte le altre porte dell intervallo 135 139 inclusa la porta 137 TCP vengono registrate e bloccate 4 SAT ANY all
138. di servizi Internet ISP La voce loghost viene utilizzata in questo modello per definire l indirizzo IP al quale inviare i dati di log La sezione 9 Auditing da EnterNet Firewall descrive le funzioni di registrazione ma se si scelto di non installare alcun sistema di ricevimento di log le impostazioni loghost possono essere lasciate invariate Operazioni preliminari Per fare in modo che il server Web o di posta sia accessibile tramite l indirizzo IP del firewall sar necessario cambiare le voci wwwsrv priv e mailsrv priv negli indirizzi del server Web e del server di posta della rete protetta Con questa configurazione sar possibile accedere ai server pubblici tramite l indirizzo IP esterno del firewall Per consentire l accesso ai server pubblici tramite indirizzi diversi cambiare wwwsrv pub e mailsrv pub negli indirizzi desiderati Questi due indirizzi vengono pubblicati automaticamente nella sezione ARP dalla configurazione in oggetto 6 4 3 Definizione delle impostazioni della scheda di rete Se si conoscono gi le impostazioni hardware della schede di rete possibile saltare questa sezione Generalmente le impostazioni relative alla scheda di rete sono incluse nel programma di configurazione fornito in dotazione con la scheda stessa ad esempio 3c5x9cfg exe per le schede 3om 3C509 EtherLink III EnterNet FireWall 6 0 contiene il software di configurazione per le schede 3Com Fast EtherLink XL 10 100 3
139. dp 138 1 tcp 1381 udp 1416 tcp 1416 udp 1422 tcp 1422 udp 1433 tcp 1433 udp 1434 tcp 1434 udp Internet e TCP IP Fujitsu Device Control kerberos administration kerberos administration Send Send PARC Universal Protocol Router PARC Universal Protocol Router EnterNet FireWall EnterNet FireWall Socks Socks Novell NetWare Comm Service Platform Novell NetWare Comm Service Platform Fujitsu Config Protocol Fujitsu Config Protocol Fujitsu Config Protocol Fujitsu Config Protocol Apple Network License Manager Apple Network License Manager Novell LU6 2 Novell LU6 2 Autodesk License Manager Autodesk License Manager Microsoft SQL Server Microsoft SQL Server Microsoft SQL Monitor Microsoft SQL Monitor Internet e TCP IP 283 eicon server eicon server eicon x25 eicon x25 eicon slp eicon slp ms sna server ms sna server ms sna base ms sna base watcom sql watcom sql orasrv orasrv tlisrv tlisrv coauthor coauthor licensedaemon licensedaemon tr rsrb p1 tr rsrb p1 tr rsrb p2 tr rsrb p2 tr rsrb p3 tr rsrb p3 stun p1 stun p1 stun p2 1438 tcp 1438 udp 1439 tcp 1439 udp 1440 tcp 1440 udp 1477 tcp 1477 udp 1478 tcp 1478 udp 1498 tcp 1498 udp 1525 tcp 1525 udp 1527 tcp 1527 udp 1529 tcp 1529 udp 1986 tcp 1986 udp 1987 tcp 1987 udp 1988 tcp 1988 udp 1989 tcp 1989 udp 1990 tcp 1990 udp 1991 tcp Eicon Security Agent Server Eicon Security Agent Server Eicon X25 SNA Gateway Eic
140. e in seguito all applicazione dell insieme di regole del firewall EnterNet FireWall 165 Il contatore IP Input Errs nella sezione Software specifica il numero di pacchetti eliminati a causa di errori checksum o di intestazioni IP danneggiate che non sono state riconosciute Quest ultimo caso probabilmente il risultato di problemi di rete locale piuttosto che di attacchi remoti Loghosts logh Mostra l elenco dei destinatari dei log configurati nel firewall a cui inviare i dati di log Netcon nete Mostra un elenco di utenti connessi correntemente al firewall mediante il protocollo di gestione netcon ad esempio da EnterNet FireWall Manager Nets net Visualizza il contenuto della sezione di configurazione Nets Ping pi Sintassi ping lt IPAddr gt lt of packets gt lt size gt Esempio ping 1 2 3 4 10 1000 Invia un numero specifico di pacchetti ICMP Echo Request a una determinata destinazione Tutti i pacchetti vengono inviati in successione immediata invece di uno al secondo Tale approccio il migliore per diagnosticare problemi di connettivit Pipes pip Sintassi pipes Mostra l elenco dei pipe configurati il contenuto della sezione di configurazione Pipes nonch i valori relativi alla velocit di trasmissione di ciascun pipe Sintassi pipes lt name gt Visualizza i dettagli relativi ad un determinato pipe Sintassi pipes u lt name gt Visualizza i
141. e necessaria L impostazione FragmentedICMP determina il comportamento del firewall quando riceve i messaggi ICMP frammentati che non sono n ICMP ECHO n ECHOREPLY Impostazione predefinita DropLog EnterNet FireWall Manager MinimumFragLength L opzione MinimumFragLength determina la dimensione minima di tutti i frammenti con la sola eccezione del frammento finale Sebbene l arrivo di troppi frammenti di dimensioni molto piccole possa causare problemi per gli stack IP spesso non possibile impostare questo limite troppo alto tuttavia raro che i mittenti creino frammenti molto piccoli Quando un mittente invia frammenti di 1480 byte un router o tunnel VPN sul percorso verso il destinatario pu ridurre successivamente il valore effettivo dell unit MTU a 1440 byte Ci crea svariati frammenti di 1440 byte e un numero uguale di frammenti di 40 byte Visti i problemi che potrebbero verificarsi in EnterNet FireWall stata studiata un impostazione predefinita che permette di far passare i frammenti pi piccoli possibili vale a dire fino a 8 byte Per uso interno dove si conoscono le dimensioni di tutti i supporti questo valore pu essere aumentato fino a 200 byte o superiore Impostazione predefinita 8 byte ReassTimeout Un tentativo di riassemblaggio verr interrotto se non arrivano altri frammenti nel limite di tempo in secondi definito dall opzione ReassTimeout a partire dal momento della ricezione dell ulti
142. e per le future espansioni Al momento di andare in stampa il loro costo si aggira sui 30 40 dollari USA Si consiglia di utilizzare unit disco su modulo dal momento che sono di facile installazione e non presentano praticamente alcun problema Per ulteriori informazioni sull utilizzo di EnterNet FireWall in questa modalit consultare la sezione relativa all installazione su disco rigido Domande frequenti FAQ configurazione del firewall Si tratta di maschere di rete utilizzate da CIDR lo standard Classless InterDomain Routing Per una spiegazione pit dettagliata delle loro funzioni consultare la voce CIDR del glossario nel capitolo 13 D Cosa sono i parametri 0 24 and 32 che si presentano nella Non possibile far funzionare in maniera corretta le regole SAT Static Address Translation traduzione statica di indirizzo Dov l errore Errori comuni che vengono commessi nella configurazione delle regole SAT e Dimenticare che la regola SAT di per s non ha alcuna azione su un pacchetto Quando un pacchetto coincide con una regola SAT nel firewall viene attivata l opzione per portare a termine una traduzione statica di indirizzo successiva mentre si continua a cercare una regola corrispondente FwdFast Allow NAT Drop o Reject Il motivo che dovrebbe essere necessario impostare una sola regola SAT anche se si usano pi di due interfacce Se ad esempio si ha una zona demilitarizzata su una terza int
143. e Hat Delayed Packets gt e Current Pps Velocit di Dropped Packets gt trasmissione corrente del Piren ITA ne Num Users pipe misurata in bit al secondo per precedenza e come totale delle precedenze e Reserved Bps Larghezza di banda corrente assegnata ad ogni precedenza alle precedenze inferiori non permesso di utilizzare questa larghezza di banda Notare che la larghezza di banda non viene riservata per precedenze con valore 0 alle quali assegnato ci che rimane del limite totale dopo aver sottratto tutte le prenotazioni di banda destinate alle precedenze pi alte EnterNet FireWall Manager e Dyn Limit Bps Limite corrente della larghezza di banda applicato alle rispettive precedenze Si riferisce al grafico Reserved Bps ma di solito pi alto poich mostra la larghezza di banda rimasta dopo aver sottratto le prenotazioni di banda per le precedenze pi alte dal limite totale e Delayed Packets Frequenza con cui i pacchetti sono stati ritardati a seguito dell esaurimento della larghezza di banda assegnata da parte di un pipe di una precedenza o di un utente di pipe Notare che un singolo pacchetto pu essere ritardato pi volte se un pipe realmente pieno il conteggio pu superare il numero di pacchetti che attraversano effettivamente il pipe e Dropped Packets Numero di pacchetti non elaborati I pacchetti vengono scartati quando il software esaurisce i buffer dei pacchetti evento che
144. e TTL impostato su 0 Impostazione predefinita ENABLED TTLMin Il valore TTL minimo accettato in conferma Impostazione predefinita 3 EnterNet FireWall Manager TTLOnLow Consente di stabilire l azione da intraprendere sui pacchetti che presentano valori TTL inferiori a quelli minimi stabiliti Impostazione predefinita DropLog Default TTL Consente di specificare il valore TTL che EnterNet FireWall dovr utilizzare durante la creazione di un pacchetto Tali valori sono generalmente compresi tra 64 e 255 255 LayerSizeConsistency Verifica che le informazioni sulle dimensioni contenute in ciascun livello Ethernet IP TCP UDP ICMP siano coerenti con quelle degli altri livelli Impostazione predefinita ValidateLogBad IPOptionSizes Verifica le dimensioni delle opzioni IP Tali opzioni rappresentano piccoli blocchi di informazioni che possono essere aggiunti alla fine di ogni intestazione IP Questa funzione consente di verificare le dimensioni dei tipi di opzioni note e garantisce che nessuna opzione superi il limite fissato dall intestazione IP stessa Impostazione predefinita ValidateLogBad IPOPT_SR Indica se le opzioni relative all origine di instradamento sono autorizzate Tramite queste opzioni il mittente del pacchetto in grado di controllare le relative modalit di instradamento attraverso ciascun router e firewall Poich ci rappresenta un grave rischio per la sicurezza EnterNet FireWall no
145. e al server di determinare l utente locale che tenta la connessione Se in questa posizione non presente una regola Reject tali server possono ritardare la connessione fino a un minuto nel tentativo di aprire una connessione verso la porta 113 La regola Reject predispone il firewall per la restituzione di un messaggio TCP RESET il quale notifica immediatamente al server che la connessione alla porta 113 non sar possibile e che la procedura di accesso proseguir senza ritardi Commenti sulla configurazione e Si consiglia di collocare il server Web in un area DMZ e Seil server di posta utilizzato offre altri servizi oltre a SMTP POP3 IMAP4 ad esempio server Exchange Notes o GroupWise potrebbe essere necessario posizionarlo nella rete interna In tali situazioni il server nell area DMZ dovrebbe essere invece un Mail Forwarder che riceve la posta dall esterno e la inoltra al server di posta interno Per alcuni esempi consultare la sezione Esempio 4 DMZ MailFwd DNS pi avanti e Potrebbe essere interessante creare un area DMZ separata per il server di posta sistema di inoltro invece di posizionarlo nella stessa DMZ del server Web Il motivo che il server Web probabilmente pi vulnerabile rispetto al server di posta per ci che concerne le rispettive porte di comunicazione Se un intruso indesiderato prende il controllo del server Web avrebbe facilmente accesso al server di posta che si trova sulla stessa LAN Quest
146. e dalla workstation di amministrazione Se la workstation di amministrazione si trova nella rete interna la connessione viene autorizzata per impostazione predefinita dalla regola FwdFast che permette al traffico di ritornare sull interfaccia interna del firewall Se si desidera conservare il vecchio floppy di avvio del firewall consigliato inserire un nuovo disco floppy vuoto In alternativa possibile utilizzare lo stesso floppy per la nuova versione Selezionare Create Boot Media dal menu Firewall Advanced Inserire il floppy nel firewall e riavviare il sistema Aggiornamento dalla versione 5 x 5 2 Procedura di aggiornamento 2 accesso remoto Utilizzare la seguente procedura se non possibile gestire il floppy di avvio tramite il firewall Rispetto alle versioni precedenti EnterNet FireWall 6 0 pi restrittiva per quanto riguarda l analisi della configurazione Quindi se la vecchia configurazione presenta errori il software del firewall non funzioner perch non riuscir a leggere i relativi file di configurazione In particolare i nuovi software non consentono conflitti di nomi tra host reti interfacce e le connessioni VPN 1 Installare la nuova versione di FireWall Manager Questa procedura viene descritta nel capitolo 7 1 Installazione di FireWall Manager La nuova versione del programma di gestione utilizza un formato di file differente rispetto alla precedente possibile eseguire l installaz
147. e della connessione Nome della regola a cui corrisponde questa voce di log Nome della regola di origine SAT a cui corrisponde questa voce di log Nome della regola di destinazione SAT a cui corrisponde questa voce di log Volume di dati inviati dal mittente lato client della connessione Volume di dati inviati dal terminatore lato server della connessione Tipo di evento conn _ Auditing da EnterNet Firewall Istruzione di firewall Le istruzioni di firewall vengono utilizzate per specificare il firewall per il quale cercare gli eventi di log La sintassi dell istruzione di firewall lt firewall gt lt firewall gt lt time_statement gt AND lt firewall gt lt firewall gt lt time_statement Istruzione di ora L istruzione di ora viene utilizzata per specificare l intervallo di tempo per i dati richiesti Un istruzione di ora pu essere una delle seguenti TIMES yyyy mm dd HH MM SS TO yyyy mm dd HH MM SS LAST DAYS n AST FULL DAYS n LAST HOURS n AST FULL HOURS n dove n un valore numerico compreso tra 1 e 1000 Se viene utilizzata l istruzione TIME ora e data devono venire specificate nel formato standard ISO come descritto in precedenza e che pu essere interrotto in qualunque punto ad x esempio TIMES 2000 01 TO 2000 02 un istruzione valida Auditing da EnterNet Firewall 9 5 Log inviati a destinatari syslog EnterNet FireWall pu inviare d
148. e esterna a Internet un interfaccia alla rete interna e una o pi reti separate con server protetti accessibili solo pubblicamente Traffic Shaping Grazie alle funzioni di traffic shaping EnterNet FireWall pu essere utilizzato per limitare garantire o assegnare priorit ai messaggi che raggiungono il firewall Elevata disponibilit possibile creare un sistema firewall ridondante aggiungendo la funzione opzionale di elevata disponibilit High Availability Configurazione e controllo remoto La configurazione viene eseguita tramite un applicazione Windows denominata EnterNet FireWall Manager e memorizzata in un database basato su file o compatibile con ODBC Per aumentare il livello di sicurezza il trasferimento delle informazioni a EnterNet FireWall viene effettuato utilizzando una crittografia a 128 bit EnterNet FireWall 23 Le informazioni relative alla configurazione vengono pertanto archiviate in due posizioni diverse nel firewall e nel database Se per qualsiasi motivo I hardware del firewall dovesse arrestarsi sara comunque possibile trovare nel database le informazioni necessarie per configurare un nuovo firewall Filtri EnterNet FireWall supporta filtri configurabili per e gli indirizzi sorgente e di destinazione e le interfacce sorgente e di destinazione e gli indirizzi IP spoofed e i numeri di protocollo IP e i numeri di porte TCP e UDP e messaggi ICMP e le connessioni nuove esistenti e it
149. e il tipo di supporto adeguato e Se le schede di rete supportano diverse velocit ad esempio 10 e 100 Mbps necessario configurarle solo per la velocit che verr utilizzata Quando la scheda di rete non collegata alla rete in fase di avvio nella maggior parte dei casi non sar in grado di rilevare automaticamente la velocit corretta di conseguenza il processo di avvio non verr eseguito correttamente Inoltre se le schede di rete sono collegate a hub o dispositivi che supportano le velocit 10 e 100 Mbps potrebbero verificarsi problemi durante il rilevamento della velocit appropriata e Sei driver supportano diversi livelli di prestazioni e di utilizzo della CPU possibile selezionare l opzione Maximize Network Throughput o un valore equivalente 6 4 4 Configurazione dell interfaccia La scheda Interfaces include le impostazioni per le schede di rete installate nelle componenti hardware del firewall E Configuration of gw myorganisation 192 168 123 1 Settings Hosts Nets Pipes Interfaces aRP Routes Access Rules Loghosts Remotes IP Addr Broadcast Addr Internal interface PCI SLOT 10 BUS 0 ip_ext External interface 6 5 Operazioni preliminari Alcuni indirizzi inseriti nella sezione Hosts verranno qui utilizzati per specificare gli indirizzi delle schede di rete corrispondenti E necessario modificare le impostazioni della colonna NIC Driver per entrambe le interfacce Sele
150. e instradato attraverso l interfaccia esterna proprio come nella maggior parte delle configurazioni Tuttavia gli indirizzi presenti sulla rete esterna fatta eccezione per ftpsrv vengono pubblicati mediante Proxy ARP sull interfaccia DMZ Ci consente al server FTP di utilizzare il normale gateway predefinito che appartiene alla rete esterna 4 dmz dmznet Il percorso 4 normale il traffico verso l area DMZ viene instradato attraverso l interfaccia DMZ 188 EnterNet FireWall ext all nets gw world Il percorso 5 gestisce tutto il traffico che non controllato da nessuno dei percorsi gi menzionati viene instradato mediante il gateway predefnito del firewall gw world verso l interfaccia esterna Notare che non importante la posizione in cui si trovano i percorsi nell elenco poich essi sono sempre disposti in un ordine tale che nel momento in cui il firewall legge la tabella di instradamento viene sempre per primo il percorso pi specifico Di conseguenza un percorso che gestisce tutti gli indirizzi sar sempre considerato per ultimo e solo quando nessun altro percorso corrisponde all indirizzo di destinazione Descrizione della sezione Access La sezione Access consente di verificare che gli indirizzi del mittente ricevuti su ciascuna interfaccia corrispondano a quelli attesi dal firewall In questa configurazione quindi ci si asp
151. e lo stesso indipendentemente da chi effettua il test Hardware e prestazioni del firewall 4 3 Scelta dei componenti hardware Per eseguire EnterNet FireWall necessaria una capacit hardware ridotta Questo perch il software del firewall di piccole dimensioni ed estremamente ottimizzato Un sistema firewall completo include i seguenti componenti essenziali e CPU Intel compatibile 486 a 25 Mhz e RAM4MB e Scheda madre e Supporti di avvio Unit floppy flash rimovibile disco su chip disco su modulo o disco rigido e 2 schede di rete e Una porta parallela Per eseguire EnterNet FireWall non necessario utilizzare schede grafiche monitor o tastiere Tuttavia durante la configurazione iniziale si consiglia di collegare al firewall un monitor e una tastiera Tali dispositivi sono inoltre necessari per definire le impostazioni della scheda di rete che consentono di configurare ed eseguire il firewall EnterNet FireWall non necessita di un unita disco rigido Infatti se si sceglie di avviare il firewall da un supporto non meccanico ad esempio una piccola unit flash esso non presenter parti mobili a tutto vantaggio di una maggiore stabilit del sistema Un disco flash da 4 MB sar sufficiente per archiviare le espansioni successive L utilizzo di dischi floppy presenta degli svantaggi non tanto nelle prestazioni dal momento che un firewall in funzione non accede alle memorie di massa bens nei tempi d
152. e massima dei pacchetti per il protocollo UDP inclusa l intestazione Il valore richiesto potrebbe essere alto visto che molte applicazione in tempo reale utilizzano pacchetti UDP di grandi dimensioni Se non vengono utilizzati tali protocolli il limite delle dimensioni imposto sui pacchetti UDP pu essere ridotto a 1480 byte Impostazione predefinita 60000 byte MaxICMPLen Specifica la dimensione massima dei pacchetti ICMP I messaggi di errore ICMP non devono mai superare i 600 byte sebbene i pacchetti Ping possano essere pi grandi se richiesto Tale valore pu essere ridotto a 1000 byte se non si desidera utilizzare i pacchetti Ping Impostazione predefinita 10000 byte EnterNet FireWall Manager MaxGRELen Specifica la dimensione massima di un pacchetto GRE II pacchetto GRE Generic Routing Encapsulation consente vari utilizzi inclusi il trasporto dei dati PPTP Point to Point Tunneling Protocol Il valore dovrebbe essere impostato in base alle dimensioni del pacchetto pi grande cui consentito il passaggio nelle connessioni VPN indipendentemente dal protocollo originale aggiungendo circa 50 byte Impostazione predefinita 2000 byte MaxESPLen Specifica la dimensione massima di un pacchetto ESP Il pacchetto ESP Encapsulation Security Payload viene utilizzato da IPsec quando richiesta la funzione di crittografia Il valore dovrebbe essere impostato in base alle dimensioni del pacchetto pi grande cui c
153. ebbero le conseguenze se alcuni articoli non ancora fatturati dovessero scomparire all improvviso oppure se fosse necessario ricompilare un offerta con il conseguente rischio di perdere un appalto Per ulteriori informazioni si consiglia di visitare l indirizzo http www attrition org mirror attrition in cui si pu consultare l elenco delle aziende i cui siti sono stati distrutti dai pirati informatici insieme alle copie di tali siti dopo il terribile evento Vengono rappresentati tutti i tipi di organizzazioni dal fioraio di quartiere alle basi militari Anche se le violazioni a un sito Web non provocano danni molto gravi l elenco include esempi significativi di aziende vittime di attacchi che non avrebbero mai pensato in passato di diventare bersaglio di pirati informatici Introduzione alla protezione di rete I pirati informatici pi pericolosi dai quali bisogna proteggersi indipendentemente dalle aziende prese di mira sono i cibervandali In genere scelgono il bersaglio casualmente prediligendo i sistemi meno protetti I danni che possono provocare sono di vario tipo e misura dalla cancellazione di dischi rigidi e modifica di siti Web alla modifica di documenti e fatture I pi fortunati ricevono un messaggio che commenta in modo negativo la sicurezza del loro sistema I rischi sono talmente numerosi che il denaro necessario per acquistare un firewall rappresenta una minima parte delle spese che bisogna investi
154. edenze e concatenando diversi pipe tra loro limitato solo dalla propria immaginazione e dalle proprie capacit di progettazione Vediamo due esempi di utilizzo Utilizzo dei pipe come misuratori di traffico Se si creano pipe senza alcun tipo di limite possibile consentire il passaggio del traffico in una o pi regole di particolare interesse e ottenere un grafico della larghezza di banda nella visualizzazione delle statistiche in FireWall Manager oppure dal prompt dei comandi Configurazione del traffico Implementazione di protezione contro gli intasamenti SYN per le regole FwdFast EnterNet FireWall non dispone di una protezione speciale contro gli intasamenti SYN attraverso le regole FwdFast a differenza delle regole Allow e NAT Utilizzando i pipe possibile configurare valori limite per i pacchetti TCP SYN realizzando quindi una protezione rudimentale contro gli intasamenti SYN A tale scopo necessario creare due regole che consentono il passaggio dei pacchetti verso una porta di server Le due regole devono essere quasi identiche l unica differenza che nella prima deve essere selezionata la casella di controllo Only Established Connections mentre nell altra no In questo modo la prima regola riceve tutti i pacchetti in arrivo alla porta di server tranne i pacchetti SYN che vengono invece ricevuti dalla seconda regola Immaginiamo cosa accadrebbe se si applicasse la seconda regola a un pipe con un
155. edimento valido anche per i firewall i cui IP sono stati modificati La sezione Parameters della finestra di dialogo viene utilizzata per controllare le funzioni amministrative di FireWall Logger Queste impostazioni possono essere lasciate immutate Il campo Maintenance hour indica l ora in cui FireWall Logger stato programmato per eseguire le operazioni di manutenzione Queste operazioni includono la compressione dei file di registro la rimozione di vecchi file di registro e cos via Nel campo Max Log File Size vengono indicate le dimensioni massime di un singolo file di log Quando un file di log supera il limite prefissato viene archiviato e sostituito da un file vuoto Firewall Logger conserva i file di log per il numero di giorni indicato dall impostazione Keep Old Logs Al momento della manutenzione giornaliera i file che superano il limite di giorni consentito vengono eliminati Auditing da EnterNet Firewall 9 2 2 3 Avvio e arresto di FireWall Logger Il servizio viene avviato e arrestato utilizzando il pannello di controllo Service del computer sul quale stato installato FireWall Logger In Windows NT 4 0 Scegliere il menu Start Scegliere Settings gt Control Panel Fare doppio clic sull icona Services Per fermare FireWall Logger selezionare la riga che contiene EnterNet FireWall Logger e fare clic su Stop Per avviare FireWall Logger selezionare la riga che contiene EnterNet Fire
156. egole SAT Vedere di seguito Name Specifica un nome simbolico per la regola Questo nome utilizzato principalmente come riferimento nei dati di log e nelle statistiche Action Reject Drop FwdFast Allow NAT o SAT Vedere di seguito per una descrizione dettagliata di ciascuna azione Pipes Specifica la catena di pipe per il passaggio del pacchetto e le precedenze da applicare al pacchetto stesso Se non specificato alcun pipe il pacchetto viene semplicemente inviato a destinazione Per le regole NAT e Allow le catene di pipe possono essere specificate in entrambe le direzioni di invio e di ritorno Per le regole FwdFast pu essere definita solo una catena di pipe nella direzione di invio Log Specifica se e come viene eseguita la registrazione su una corrispondenza di regole Src Iface Specifica il nome dell interfaccia ricevente che deve essere confrontata con il pacchetto ricevuto Perch venga eseguita la regola i pacchetti da esaminare devono corrispondere a questo e a tutti gli altri filtri EnterNet FireWall Manager Src Net Specifica il range di indirizzi IP del mittente che deve essere confrontato con il pacchetto ricevuto I pacchetti da esaminare devono corrispondere a questo filtro e a tutti gli altri filtri perch sia avviata la regola Dest Iface Specifica il nome dell interfaccia che deve essere confrontata con l interfaccia di destinazione per l IP di destinazione del
157. eipt i 2 3 M LogReceivedTTLO Log received packets with TTL 0 this should never happen 4 5 DropLog TTLOnLow What action to take on too low TTL values 6 255 DefaultT TL The default IP Time To Live of packets originated by this firewall 32 255 La scheda Settings include diverse impostazioni globali per EnterNet FireWall in termini di limiti delle dimensioni dei pacchetti timeout della connessione verifiche dell integrit strutturale alle quali soggetto ogni pacchetto e cos via In molti casi i valori predefiniti di questa scheda sono appropriati per quasi tutte le installazioni La parti della scheda Settings utilizzate pi di frequente verranno descritte nelle sezioni seguenti e 7 3 2 5 Impostazioni Stateful Inspection e 7 3 2 6 Timeout di una connessione e 7 3 2 7 Limiti di dimensioni in base al protocollo Tramite le caselle di riepilogo possibile specificare alcuni dei valori della sezione Settings I valori seguenti rappresentano quelli pi comunemente utilizzati e ValidateSilent Verifica se stato soddisfatto un determinato requisito Se il requisito non viene soddisfatto il pacchetto viene eliminato senza essere registrato e ValidateLogBad Verifica se stato soddisfatto un determinato requisito Se il requisito non viene soddisfatto il pacchetto verr registrato e quindi eliminato EnterNet FireWall Manager ValidateLog Verifica se stato soddisfatto un determinat
158. el tunnel Sempre pi di frequente gli utenti in viaggio per lavoro effettuano connessioni VPN tra i laptop e la rete della loro societ Tuttavia tali portatili spesso non sono protetti In sostanza un intruso indesiderato pu accedere alla rete provvista di protezione di una societ tramite un laptop non protetto e connessioni VPN gi aperte Introduzione alla protezione di rete Quindi per proteggere la rete dagli attacchi derivanti da connessioni VPN e modem si consiglia di evitare di collegare direttamente i portatili a Internet Sarebbe opportuno piuttosto instradare le comunicazioni attraverso la connessione modem o VPN e la rete dell azienda indipendentemente dal destinatario del messaggio Solo in questo modo possibile garantire pi o meno lo stesso livello di sicurezza del resto della rete Per le connessioni VPN possibile installare sul portatile un apposito client in grado di bloccare tutto il traffico Internet in ingresso ad eccezione dei dati che passano attraverso la connessione VPN Una connessione VPN o una combinazione di modem non dovrebbe mai essere considerata come parte diretta di una rete protetta Sarebbe invece opportuno posizionare i punti finali VPN in una speciale rete demilitarizzata o all esterno di un firewall dedicato a questo scopo In questo modo possibile limitare l accesso tramite modem e VPN a determinati servizi per proteggerli da attacchi pericolosi Se un firewall conti
159. ell elenco senza un icona Indipendentemente dal fatto che tali modelli vengano visualizzati o meno sar sempre possibile copiarli durante la creazione di un nuovo firewall Show inactive Consente di includere i file contrassegnati come inattivi nell elenco dei firewall Tali firewall vengono visualizzati nell elenco con un icona trasparente Indipendentemente dal fatto che i firewall visualizzati siano inattivi o meno sar sempre possibile copiarli durante la creazione di un nuovo firewall Dock FireWall List Consente di inserire l elenco dei firewall in uno dei menu ai bordi della finestra principale come una barra degli strumenti Quindi possibile trascinare l elenco in un altra posizione sempre ai lati della schermata 7 3 Finestra di configurazione Dalla finestra di configurazione possibile controllare tutti gli aspetti del firewall Tale visualizzazione contiene numerose schede Qui di seguito viene fornita una breve descrizione delle funzione di ogni scheda EnterNet FireWall Manager Settings Contiene impostazioni globali relative al firewall inclusi i limiti delle dimensioni dei pacchetti relativi ai vari protocolli gli intervalli di attesa delle connessioni le verifiche dell integrit strutturale dei pacchetti e cos via Hosts La tabella di traduzione tra i nomi simbolici e gli indirizzi IP numerici Nets Tabella di traduzione tra i nomi di rete simbolici e gli indirizzi di r
160. enFails Questo tipo di eventi viene generato spesso di solito a causa del time out della connessione da parte del firewall mentre l altra estremit continua ad inviare dati dopo la chiusura della connessione Tali pacchetti non vengono accettati per i motivi elencati di seguito e Il firewall non riconosce l esistenza della connessione dal momento che questa in precedenza stata chiusa e cancellata In base alla sezione Rules dovrebbe essere consentito il passaggio al pacchetto in arrivo dal momento che la sua destinazione la porta 80 del server Web pubblico Quando il meccanismo di ispezione sullo stato analizza il pacchetto rileva che il flag SYN non attivo e che non possibile aprire una nuova connessione e Una delle parti invia un messaggio di errore ICMP che viene erroneamente accettato dalla sezione Rules I messaggi di errore ICMP non consentono mai di aprire nuove connessioni e vengono quindi bloccati dal meccanismo di ispezione sullo stato e in atto un tentativo di eseguire una scansione invisibile dei server e o del firewall inviando pacchetti TCP senza averne attivato il flag SYN In questo caso verranno registrate pi o meno simultaneamente numerose voci di log relative ad un elevato numero di porte Eventi NETCON Gli eventi NETCON vengono generati nel momento in cui gli amministratori effettuano la connessione al firewall per controllarlo o visualizzare le statistiche in remoto _ Auditing da En
161. ene un gateway VPN integrato generalmente possibile stabilire i tipi di comunicazione autorizzati Il modulo IPsec VPN di EnterNet FireWall supporta proprio questa funzione 2 5 6 Buchi tra zone demilitarizzate e reti interne Le connessioni extranet e il commercio elettronico hanno aperto nuove frontiere di sviluppo L aumento della presenza di aziende in Internet che pubblicano i propri dati interni mediante server Web ha esteso di conseguenza i pericoli relativi alla sicurezza delle informazioni diventata ormai una prassi molto comune posizionare i server Web in zone demilitarizzate che consentono di comunicare con le fonti di dati situate nelle reti protette I questi casi gli attacchi guidati dai dati rappresentano un pericolo enorme I buchi tra le zone demilitarizzate e le reti interne possono rappresentare un vero problema se utilizzati in modo errato Infatti molti utenti aprono tali buchi senza considerare i problemi che ne potrebbero derivare Perci questo argomento stato trattato in una sezione separata Introduzione alla protezione di rete Dal momento che non possibile considerare un server Web immune da qualsiasi rischio si pensato di posizionarlo in una zona demilitarizzata Se per un intruso indesiderato riesce a prendere il controllo di un server che presenta un buco aperto potr accedere grazie a esso ai dati di una rete interna Il risultato che la rete protetta soggetta ad attac
162. er presenti nell area DMZ per evitare che finiscano sotto il controllo di un utente indesiderato Uno spiacevole effetto secondario che i log nei server Web e di posta mostreranno che l accesso stato effettuato dall interfaccia DMZ del firewall e non dai singoli indirizzi interni 8 Allow ANY all nets wwwsrv pub 32 TCP ALL gt 80 9 Allow ANY all nets mailsrv pub 32 TCP ALL gt 25 Le regole 8 e 9 consentono l accesso del traffico agli indirizzi pubblici dei server Web e di posta rispettivamente le porte 80 e 25 Gli indirizzi di destinazione saranno inoltre tradotti secondo le regole SAT descritte in precedenza 10 Allow ANY all nets ftpsrv 32 TCP ALL gt 21 11 Allow ANY all nets ftpsrv 32 TCP ALL gt High La regola 10 consente le connessioni alla porta 21sul server FTP il canale dei comandi di FTP La regola 11 consente di connettersi a tutte le porte pi alte del server FTP in modo da far lavorare FTP in modalit passiva EnterNet FireWall 193 N Prima di consentire le connessioni a tutte le porte alte di un server FTP necessario determinare se esistono servizi di rete che possono riceverle Nel caso in cui sono presenti l accesso a queste porte deve essere bloccato prima di consentire il traffico a tutte le restanti porte alte 12 Drop ANY all nets intnet AII LOG La regola 12 consente di bloccare tutto il traffic
163. ere risposte Ping o pacchetti Destination Unreachable generati dal firewall in risposta a pacchetti a cui stati negato l accesso 7 4 2 Statistiche di utilizzo per le regole Il contatore sull utilizzo di una regola specifica nella configurazione pu essere attivato scegliendo la regola nel menu cane Rule Use Reject_Ident Drop_All Drop_NetBIOS_1 Drop_NetBIOS_2 Drop_NetBIOS_3 Per questo si consiglia di assegnare alle regole nomi simbolici descrittivi EnterNet FireWall Manager 7 4 3 Statistiche sui pipe Il sottomenu Pipes fornisce accesso a vari contatori per le statistiche relative alle funzioni di modellazione del traffico in EnterNet FireWall 7 4 3 1 Statistiche globali sui pipe Firewall Rule Use gt Pipes gt Num Users Default in Max Users ext gt Web_and_mail gt e Num Users Numero corrente di utenti come definito dalle impostazioni di raggruppamento di ogni pipe rilevato nei pipe Notare che questo valore corrisponde al numero di utenti attivo per ogni porzione di tempo pari a 1 20 di secondo e non al numero di utenti che dispongono di connessioni aperte 7 4 3 2 Statistiche per pipe e Current Bps Velocit di Firewall trasmissione corrente del ma Si pes otal pipe misurata in bit al int gt Current Bps secondo per precedenza e ext Web_and_mail gt Current Pps Reserved Bps gt come totale delle precedenze Dyn LimitBps gt ee
164. erfaccia probabile che vengano utilizzate regole diverse per il traffico dalle reti esterne generalmente regole Allow e la rete protetta generalmente regole NAT e Se si utilizzano regole FwdFast necessario configurarle anche per il traffico di ritorno Di conseguenza anche per queste necessario utilizzare due insiemi di regole SAT una per il traffico in ciascuna direzione e La traduzione statica dell indirizzo non avviene finch non stata incontrata una regola FwdFast Allow o NAT Questo indica che una regola SAT che traduce gli indirizzi di destinazione 1 1 1 1 in 2 2 2 2 deve avere corrispondenza con una regola FwdFast o NAT con un indirizzo di destinazione 1 1 1 1 non 2 2 2 2 Consultare la sezione 8 1 Traduzione degli indirizzi Domande frequenti FAQ Perch EnterNet FireWall non supporta protocolli di instradamento quali RIP o OSPF Enternet intende implementare il supporto ai protocollo di instradamento non appena sar stato sviluppato un algoritmo sufficientemente sicuro che possa identificare le informazioni di instradamento sicure Accettare informazioni di instradamento senza verificare che siano sicure toglierebbe il significato al concetto di firewall dal momento che intrusi indesiderati potrebbero reindirizzare a se stessi comunicazioni che dovrebbero viaggiare solo tra due interfacce protette Il mio server di posta un server Microsoft Exchange Lotus Notes Novel
165. erimetrale e supportano una connessione a Internet un collegamento a una rete interna e una o pi connessioni alle zone demilitarizzate generalmente una sola per i firewall pi semplici EnterNet FireWall 27 EnterNet FireWall inoltre ha una struttura completamente simmetrica che unitamente alle elevate prestazioni e alle numerose possibilita di interfacciamento ne fanno uno strumento molto flessibile Infatti pu essere utilizzato in svariate situazioni dalla protezione di semplici connessioni Internet alla segmentazione di complesse reti aziendali e persino nelle soluzioni distribuite per la sicurezza in situazioni ASP o ISP Questa sezione include alcuni esempi schematici delle diverse situazioni di utilizzo di EnterNet FireWall necessario fare alcune considerazioni sull ubicazione all interno di una rete di componenti importanti quali FireWall Manager e FireWall Logger Negli esempi seguenti alcuni computer verranno contrassegnati con i simboli illustrati qui di seguito i quali rappresentano i diversi componenti EnterNet FireWall Il dispositivo hardware che esegue il software di EnterNet FireWall EnterNet FireWall Manager Una workstation o un server basato su Windows che 3 esegue il programma EnterNet FireWall Manager EnterNet FireWall Logger Una workstation o un server che esegue il servizio e o daemon EnterNet FireWall Logger Potrebbe anche trattarsi di un server che esegue un sistema di r
166. erlo alla configurazione di rete del server di posta Il procedimento richiede l aggiunta di un percorso separato nel firewall per l indirizzo IP che si sta prendendo in prestito indirizzato all interfaccia interna del firewall Inoltre necessario attivare la funzione Proxy ARP per il percorso sull interfaccia da cui stato preso in prestito l indirizzo Consentire quindi il passaggio del traffico all indirizzo come indicato Consultare la sezione 8 1 Traduzione degli indirizzi Selezionando la funzione Show Log in FireWall Manager non possibile visualizzare eventi precedenti ma solo ci che accade in quel momento Questo non va contro la logica di un registro Selezionando Show Log in FireWall Manager si apre una finestra in cui vengono visualizzati in tempo reale i dati di log generati dal firewall Per visualizzare eventi precedenti necessario cercare tra i log creati da EnterNet FireWall Logger oppure dal destinatario syslog Per ulteriori informazioni consultare il capitolo 9 Auditing da EnterNet Firewall I file di registro generati da FireWall Logger syslog sono vuoti necessario predisporre il firewall per l invio di messaggi di log al vostro loghost Nella sezione Loghosts possibile specificare fino a otto indirizzi a cui il firewall deve inviare i dati di log Per ulteriori informazioni consultare il paragrafo 7 3 11 Scheda Loghosts Domande frequenti FAQ configurazione
167. essione Le impostazioni incluse in questa sezione specificano la durata di inattivit di una connessione ad esempio quando non esiste pi traffico di dati prima che questa venga chiusa automaticamente Notare che ciascuna connessione ha due valori di timeout uno per ciascuna direzione Una connessione viene terminata se entrambi i valori sono uguali a 0 ConnLife_TCP_SYN Specifica la durata di inattivit di una connessione TCP non ancora completamente stabilita prima che venga terminata Impostazione predefinita 60 secondi EnterNet FireWall Manager ConnLife_TCP Specifica la durata di inattivita di una connessione TCP completamente stabilita prima che venga terminata Le connessioni diventano completamente stabilite non appena i pacchetti con i rispettivi flag SYN disattivati viaggiano in entrambe le direzioni Impostazione predefinita 3600 secondi 60 minuti ConnLife_TCP_FIN Specifica la durata di inattivit di una connessione TCP in procinto di essere chiusa prima che venga terminata Le connessioni raggiungono questo stato quando un pacchetto con il flag FIN attivo passato in entrambe le direzioni Impostazione predefinita 80 secondi ConnLife_UDP Specifica la durata di inattivit di una connessione con il protocollo UDP prima che venga terminata Il valore di timeout generalmente basso in quanto il protocollo UDP non ha modo di segnalare quando la connessione sta per terminare Impostazione predefinita
168. et FireWall Manager Broadcast Gli indirizzi di braodcast della rete connessa Questo l indirizzo pi alto disponibile nella rete Nel caso di una rete con 32 indirizzi l indirizzo di broadcast l indirizzo di rete 31 ad esempio se la rete ha un indirizzo 192 168 123 64 255 255 255 224 il relativo broadcast 192 168 123 95 All indirizzo di broadcast vengono inviate le informazioni che devono raggiungere tutti i computer collegati alla rete 7 3 7 Scheda ARP E Configuration of gw myorganisation 192 168 123 1 Settings Hosts Nets Pipes Interfaces ARP Routes Access Rules Loghosts Remotes IP Address Hw Address La scheda ARP contiene gli indirizzi hardware per IP specifici su ciascuna interfaccia Consente il binding statico di indirizzi IP verso indirizzi hardware e la pubblicazione di indirizzi IP con indirizzi hardware specifici e Mode Static Publish o XPublish e Interface Indica l interfaccia a cui si applica la voce ARP ad esempio l interfaccia su cui deve essere pubblicato l indirizzo e IP Address L indirizzo IP che deve essere pubblicato oppure connesso staticamente all indirizzo hardware e Hw Address L indirizzo hardware associato all indirizzo IP Se si omette questo campo viene utilizzato automaticamente l indirizzo locale della scheda di rete EnterNet FireWall Manager 7 3 7 1 Elementi ARP statici Gli elementi ARP statici
169. ete numerici con le dimensioni di rete maschere Pipes Tabella che definisce i pipe utilizzati per la modellazione del traffico Ifaces Consente di configurare la scheda di rete con impostazioni quali i nomi gli indirizzi IP e le impostazioni hardware ARP Acronimo di Address Resolution Protocol Consente di effettuare associazioni statiche tra gli indirizzi IP e gli indirizzi hardware e di pubblicare gli indirizzi IP sulle interfacce firewall Routes Tabella di instradamento Comunica al firewall la direzione nella quale inviare i pacchetti destinati ai diversi indirizzi IP Questa scheda consente di controllare la funzione Proxy ARP Access Offre protezione contro lo spoofing IP Stabilisce gli indirizzi IP che il firewall deve accettare come mittenti in ogni interfaccia I pacchetti ai quali stato negato l accesso in questa sezione vengono immediatamente eliminati pertanto non potranno passare alla sezione Rules EnterNet FireWall Manager Rules Regole che controllano le attivita di EnterNet FireWall ad esempio filtrano gli indirizzi del mittente e del destinatario i protocolli e i numeri di porta e cosi via Tali regole gestiscono anche la traduzione degli indirizzi Loghosts Specifica gli indirizzi IP ai quali EnterNet FireWall deve inviare i dati di log Remotes Specifica gli indirizzi IP autorizzati ad amministrare in remoto EnterNet FireWall nonch gli aspetti del firewall che essi potrebbero contr
170. etta che gli indirizzi interni provengano dall interno e che quelli esterni provengano dall esterno Vengono inoltre bloccati alcuni indirizzi di mittenti non validi Drop ANY 0 0 0 0 8 La regola 1 consente di bloccare gli indirizzi di mittenti da 0 0 0 0 a 0 255 255 255 indipendentemente dall origine La rete non valida e non si desidera ricevere pacchetti provenienti da essa Drop ANY 127 0 0 0 8 La regola 2 consente di bloccare gli indirizzi di mittenti da 127 0 0 0 a 127 255 255 255 indipendentemente dall origine La rete include l host locale 127 0 0 1 indirizzo che corrisponde sempre al computer locale Non ci si aspetta che tali indirizzi siano visibili in rete e quindi vengono considerati non validi EnterNet FireWall 189 3 Drop ANY 224 0 0 0 3 La regola 3 consente di bloccare gli indirizzi di mittenti da 224 0 0 0 a 255 255 255 255 indipendentemente dall origine Si tratta di indirizzi multicast che sono validi ma possono essere utilizzati solo come destinazione quindi non sono consentiti come indirizzi di mittente 4 Expectjint intnet La regola 4 presuppone che gli indirizzi dei mittenti appartenenti a internet arrivino all interfaccia interna Se l indirizzo del mittente del pacchetto appartiene a intnet ma raggiunge un interfaccia differente viene scartato e registrato 5 Expect dmz ftpsrv 32 La
171. etti hanno accesso a Internet viene utilizzata la traduzione dinamica dell indirizzo Se si dispone di server con indirizzi IP privati che hanno bisogno di essere accessibili pubblicamente viene utilizzata la traduzione statica dell indirizzo e Sicurezza La traduzione degli indirizzi in s non fornisce un livello maggiore di sicurezza ma pu rendere pi difficile la comprensione dell esatta disposizione della rete protetta e delle macchine che possono diventare bersaglio di un eventuale attacco da parte di intrusi indesiderati Nel peggiore dei casi l uso della traduzione degli indirizzi rallenter l operato dell intruso indesiderato il quale sar anche pi visibile nei file di log del firewall Nella migliore delle ipotesi l intruso si arrender In questa sezione viene descritta la traduzione degli indirizzi statica e dinamica nonch il funzionamento e le relative opzioni Vengono inoltre forniti esempi relativi alle regole NAT e SAT 148 EnterNet FireWall 8 1 1 Traduzione dinamica degli indirizzi di rete Il processo di traduzione dinamica dell indirizzo implica la traduzione di pi indirizzi del mittente in un altro o altri indirizzi del mittente Il funzionamento del processo viene descritto di seguito e Il mittente ad esempio 192 168 1 5 invia un pacchetto da una porta assegnata dinamicamente supponiamo la porta 1038 ad un server ad esempio 195 55 66 77 su porta 80 192 168 1 5 1038 gt 195 55 66 77
172. fficile Non possibile aggiungere in un secondo tempo qualit di servizio ad una rete ma necessario invece pianificare accuratamente e comprendere che diversi tipi di traffico necessitano di diversi tipi di controllo per poter elaborare un buon piano per implementare la QoS Quality of Service qualit del servizio in una rete Il sistema di configurazione del traffico su EnterNet FireWall offre uno strumento eccezionale per l implementazione di QoS Si tenga presente che le dimensioni del presente Manuale utente probabilmente raddoppierebbero se venissero trattati anche i vari contesti e le strategie di QOS In questa sede invece viene approfondito il funzionamento dal punto di vista tecnico di EnterNet FireWall e vengono forniti alcuni esempi che illustrano il normale utilizzo delle funzioni di configurazione del traffico Verranno ora esaminati nel dettaglio gli strumenti presenti su EnterNet FireWall che consentono di implementare QoS Configurazione del traffico 10 1 Premessa Uno dei maggiori inconvenienti del protocollo TCP IP la mancanza di una reale funzionalita QoS Nelle reti QoS Quality of Service indica la capacita di garantire e limitare la larghezza di banda per determinati servizi e utenti Sebbene esistano protocolli come DiffServ e altre soluzioni che hanno come scopo quello di offrire QoS nelle grandi reti nessuna di queste ha raggiunto uno standard sufficientemente elevato per l utilizzo su
173. firewall Il DNS non una struttura affidabile Se non si in grado di controllare cosa contiene il DNS del proprio dominio o ad esempio se il server DNS dovesse essere temporaneamente fuori servizio il firewall sarebbe costretto a recuperare i dati da fonti esterne alla sua protezione Se succedesse questo un intruso indesiderato potrebbe riuscire ad ottenere un passaggio nel firewall e avere accesso con il suo computer La comunicazione che normalmente viene consentita ad un server accessibile pubblicamente oltre il firewall potrebbe venire deviata lungo le stesse linee verso una macchina completamente diversa e non accessibile pubblicamente Domande frequenti FAQ Il firewall traduce gli indirizzi delle connessioni utilizzando NAT e ora FTP funziona solo con Internet Explorer e Netscape ma non con i software client FTP pi comuni quali WS_FTP Perch FTP funziona utilizzando due connessioni una per inviare i comandi dal client al server e una per trasferire i file FTP pu funzionare sia in Active Mode o Passive Mode modalit attiva o passiva a seconda del comportamento del server FTP Passive Mode viene generalmente abbreviata in PASV Mode FTP viene normalmente utilizzato in Active Mode nella quale la seconda connessione canale dei dati viene aperta dal server FTP al client cosa non consentita dal firewall Passive Mode fa s che il client apra entrambe le connessioni al server e questo viene con
174. gio ICMP UNREACHABLE e cos via Ponendo un limite al numero di messaggi di log che il firewall invia ogni secondo si evita di incorrere in tali situazioni in cui vi un enorme consumo della larghezza di banda Impostazione predefinita 100 messaggi al secondo UsageLogInterval EnterNet FireWall invia periodicamente le informazioni sulle connessioni aperte e il carico di rete ai destinatari dei log L opzione UsageLogInterval ne specifica la frequenza Impostazione predefinita 3600 secondi ogni ora EnterNet FireWall Manager 7 3 2 10 Impostazioni varie NetConBiDirTimeout Quando si carica una nuova configurazione il firewall prova a ristabilire una comunicazione bidirezionale con Firewall Manager in modo da garantire la raggiungibilit del firewall Questa impostazione specifica la durata di attesa prima che il firewall ritorni alla configurazione precedente Impostazione predefinita 30 secondi BufFloodRebootTime Il firewall si riavvia automaticamente se i buffer sono stati ridondanti per lungo tempo Questa impostazione definisce il periodo di tempo necessario Impostazione predefinita 3600 secondi ScrSaveTime Il tempo in secondi prima che il firewall attivi automaticamente un salvaschermo Il salvaschermo adatter automaticamente la propria attivit al carico corrente della CPU del sistema In caso di carichi elevati si aggiorner una volta al secondo consumando una percentuale minima del carico della CPU Impo
175. go Ripetere questa procedura per tutte le schede di rete Salvataggio della configurazione A questo punto possibile utilizzare la configurazione di base Scegliere OK nella finestra di configurazione per salvarla nel database di amministrazione Operazioni preliminari Verra richiesto se si desidera inviare la configurazione al firewall tramite la rete Rispondere No poich attualmente non ancora disponibile alcun firewall al quale poter inviare la configurazione 6 6 Messa in funzione di EnterNet FireWall 6 6 1 Creazione di un supporto di avvio per EnterNet FireWall Generalmente EnterNet FireWall Manager viene avviato da un disco floppy Pertanto nella sezione seguente verranno descritte le operazioni di avvio tramite questo tipo di supporto Se si desidera modificare il tipo di supporto di avvio consultare il paragrafo 7 2 4 Menu Tools Selezione del supporto di avvio Inserire un disco formattato nell unit A Selezionare il firewall per il quale si desidera creare un disco di avvio dall elenco corrispondente Ad esempio possibile scegliere il firewall creato nel paragrafo 6 3 Selezionare Advanced Create Boot Media dal menu Firewall Verr creato un disco di avvio compatibile con DOS che include e i file di avvio Caldera DR DOS e il software di EnterNet FireWall e driver di rete selezionati a meno che non siano gia incorporati e i file di configurazione per le schede di rete e il firewa
176. he EnterNet FireWall Manager Tali valori vengono visualizzati in varie caselle di riepilogo come gia descritto in precedenza Tuttavia le caselle di riepilogo non contengono tutti questi valori contemporaneamente Inoltre il loro significato pu variare leggermente in base alla singola impostazione Per ulteriori informazioni su questo argomento consultare i paragrafi descritti pi avanti Il paragrafo seguente include una descrizione dettagliata di tutte le impostazioni della sezione Settings 7 3 2 1 Impostazioni di livello IP LogChecksumErrors Consente di registrare le occorrenze dei pacchetti IP che contengono checksum errate Generalmente il risultato del pacchetto che viene danneggiato durante il trasporto in rete Tutte le unit della rete ovvero i router e le workstation restituiscono i pacchetti IP che contengono checksum errati Sono comunque rari i casi di violazioni della sicurezza tramite checksum non validi Impostazione predefinita ENABLED LogNonIP4 Consente di registrare le occorrenze dei pacchetti IP che non appartengono alla versione 4 Infatti la versione 5 di EnterNet FireWall accetta solo i pacchetti IP della versione 4 tutto il resto viene eliminato Impostazione predefinita ENABLED LogReceivedTTLO Consente di registrare le occorrenze dei pacchetti IP ricevute con il valore TTL Time To Live impostato su zero Un unit di rete non dovrebbe in nessun caso inviare pacchetti con il valor
177. ho Request Viene inviata una richiesta di eco quando si utilizza il comando Ping ICMP Echo Reply Viene generalmente ricevuta una risposta di eco in seguito all invio di un comando Ping ICMP Destination Unreachable Tale messaggio pu essere ricevuto in risposta all invio di un comando Ping se il messaggio di richiesta di eco non ha raggiunto la destinazione stabilita inoltre pu indicare che un collegamento TCP o UDP stato interrotto oppure che non pu essere stabilito ICMP Source Quenching Questo messaggio segnala all host che il peer ha incontrato problemi nel ricevere i dati alla velocit con cui l host li ha trasmessi EnterNet FireWall Manager Molte implementazioni IP limitano le velocita di trasmissione per un periodo breve di tempo dopo avere ricevuto questo messaggio Tuttavia la funzione di avviso di congestione del traffico pu essere utilizzata dai pirati informatici per diminuire la velocit di collegamento fra due parti Per questo il pirata informatico deve conoscere gli indirizzi IP di entrambe le parti I messaggi di congestione del traffico sono utilizzati spesso da gruppi di modem per comunicare ai server su Internet di rallentare la trasmissione quando il collegamento ai modem non riesce a supportare velocit molto elevate EnterNet FireWall ignora i messaggi Source Quenching se questi vengono inviati direttamente al firewall ICMP Redirect Il reindirizzamento dei messaggi avv
178. i 2 Installazione di EnterNet FireWall Manager E necessario installare EnterNet FireWall Manager nella workstation che verra utilizzata per amministrare il firewall la procedura viene descritta nel capitolo 7 1 Installazione di FireWall Manager Dopo aver eseguito queste due operazioni possibile continuare il processo di installazione seguendo le istruzioni descritte nelle sezioni pi avanti 6 3 Creazione di un firewall in FireWall Manager Avviare EnterNet FireWall Manager Verr visualizzata la finestra FireWall List ovvero la finestra principale di FireWall Manager Questo argomento verr trattato pi approfonditamente nella sezione 7 2 Finestra principale FireWall List Per creare un nuovo firewall selezionare FireWall dalla barra dei menu e quindi scegliere New FireWall ci EnterNet Firewall Manager _ o x File Firewall Tools Log View Window Help N all Ctrl N Delete Firewall oe Core ver Uptime Core cfg DB cfa Last modified Console Statistics Realtime Log Properties Create a new firewall entry in the management database Verra visualizzata una finestra di dialogo che richiede di immettere alcune impostazioni di base relative al firewall che si desidera creare Operazioni preliminari New Firewall x r Settings M Status IP Address Create as Version G Active Inactive C Template 192 168 123 1 6 00 00 7 Name Storage r Comment
179. i avvio che risultano pi lenti Del resto i dischi floppy non sono certamente noti per la loro eccellente stabilit durante le lunghe procedure di elaborazione 4 3 1 Hardware e prestazioni del firewall CPU E possibile eseguire EnterNet FireWall 6 0 su tutti i tipi di processori Intel x86 e compatibili a partire da Intel 486 a 25 Mhz La scelta della CPU importante per le prestazioni del firewall fino a una certa larghezza di banda Generalmente un sistema con pi processori non aumenta le prestazioni di EnterNet FireWall L elenco seguente illustra come varia la larghezza di banda in base al processore e ai relativi componenti hardware utilizzati Tuttavia i grafici che raffigurano la larghezza di banda sono approssimativi Infatti esistono tanti altri fattori e componenti che incidono sulle prestazioni CPU Larghezza di banda 486 25 Mhz 2 Mbps Pentium 90 Mhz 50 Mbps Pentium II 233 Mhz 200 Mbps Pentium III 500 Mhz 300 Mbps Pentium III 733 Mhz 400 Mbps 4 3 2 RAM Poich il software di EnterNet FireWall occupa meno di 512 KB sar possibile utilizzare la memoria del sistema principalmente per i buffer dei pacchetti e le voci della tabella di stato connessioni La quantit di memoria utilizzata dal sistema dipende dal numero delle interfacce di rete dal numero di utenti e dalla scelta dei moduli del software del firewall abilitato La memoria minima richiesta di 4 MB 8 o 16 MB per le configu
180. i dispone di server Web o di posta con indirizzi privati che si desidera rendere accessibili pubblicamente digitarne l indirizzo in questa posizione possibile ovviamente specificare un unico indirizzo per entrambi i servizi se questi sono installati sullo stesso server Questi indirizzi vengono utilizzati dalle regole SAT nella sezione Rules per implementare la traduzione statica degli indirizzi rispettivamente nelle porte 80 e 25 wwwsrv pub ip_ext mailsrv pub ip_ext inoltre possibile specificare gli indirizzi tramite i quali sono pubblicati i server Web e di posta Utilizzando gli indirizzi preimpostati i server Web e di posta saranno pubblicati tramite l indirizzo IP esterno del firewall Questi indirizzi vengono utilizzati nella sezione Rules per implementare la traduzione statica dell indirizzo e consentire la connessione rispettivamente alle porte 80 e 25 Gli indirizzi sopra descritti vengono pubblicati automaticamente nella sezione ARP Se questi vengono modificati in un indirizzo differente dall IP esterno del firewall sar probabilmente necessario che questo risponda alle query ARP per tali indirizzi In questo caso il traffico destinato a tali indirizzi sar diretto al firewall Se il traffico verso tali indirizzi era instradato comunque al firewall gli indirizzi non saranno pubblicati La pubblicazione ARP che sia necessaria o meno non provocher alcun danno EnterNet FireWall 175
181. i quali VB Script Javascript o simili Un firewall pu utilizzare un ALG per esaminare informazioni a livello di applicazione ad esempio i dati trasportati da TCP UDP e altri protocolli Un Application Service Provider un azienda che mette a disposizione applicazioni tramite reti Il costo di questo servizio pu essere basato sul tempo o sul numero di utenti contemporanei Il termine Bastion Host equivalente al termine Firewall ovvero un sistema disegnato per proteggere uno o pi computer da violazioni Vedere anche Firewall Vedere City Area Network Vedere Classless InterDomain Routing 298 Glossario City Area Network Classless InterDomain Routing ODI Una rete MAN costituita solitamente da una rete a dorsale veloce composta da anelli in fibra in grado di connettere utenti di una stessa citt reciprocamente e ad Internet Identico a MAN CIDR un metodo di notazione e una tecnologia di instradamento che consente agli intervalli IP di dimensioni diverse da 256 65536 e 16777216 di venire instradati come singola rete omogenea La notazione CIDR ha formato 192 168 123 0 24 dove 24 la dimensione dell indirizzo di rete in Dit In altre parole 24 rappresenta il numero di uni binari nella maschera di rete che in questo caso 255 255 255 0 0 corrisponde al percorso predefinito ovvero 0 0 0 0 8 una rete di classe A ovvero 255 0 0 0 16 una rete di classe
182. i sistemi contengono pi di un numero bus Questo non significa necessariamente che includano pi bus singoli ma semplicemente che il primo bus potrebbe essere stato esteso con una scheda PCI per ottenere pi slot PCI disponibili e non tanto per ottimizzare la velocit 4 3 4 Supporti di avvio Il software EnterNet FireWall insieme ai file di avvio i file di configurazione e i driver occupano meno di 1 MB di memoria L accesso ai dispositivi utilizzati per l archiviazione di tali file viene effettuato solo all avvio del sistema e durante le operazioni di amministrazione remota Inoltre poich tutti i log vengono inviati ai relativi sistemi di ricezione nella rete il firewall non necessita di un unit disco rigido di supporto Durante l installazione FireWall Manager crea un supporto di avvio con i file necessari al funzionamento del firewall In questo modo possibile avviare ed eseguire il firewall direttamente dal supporto di avvio creato senza coinvolgere le componenti hardware del firewall Hardware e prestazioni del firewall EnterNet FireWall Manager in grado di creare file di avvio su qualsiasi supporto avviabile dato che quest ultimo pu essere rappresentato persino da un normale file di Windows Generalmente EnterNet FireWall viene eseguito da un disco flash o floppy Tuttavia in configurazioni critiche si consiglia di utilizzare un disco flash in modo da eliminare quasi tutte le parti mobili del
183. i su quelle protette Introduzione alla protezione di rete 2 6 Un altro tipo di protezione degna di considerazione consiste nel creare un origine dati separata che includa un numero limitato di informazioni accessibili da parte del server Web Ovviamente i dati disponibili dovranno essere poco importanti Per realizzare questa procedura necessario effettuare l esportazione automatica delle informazioni dall origine dati esterna a quella interna ogni volta che necessario aggiornare i dati In alternativa possibile eseguire questa operazione in ore programmate della giornata Un problema di difficile risoluzione potrebbe verificarsi qualora fosse necessario aggiornare l origine dei dati nel server Web In questo caso la soluzione migliore spostare l origine dei dati in questione in un segmento separato della rete per ridurre gli eventuali danni provocati da accessi indesiderati Quali sono i bersagli degli attacchi Per motivi di maggiore sicurezza tutti utilizzano una porta d ingresso munita di serratura e a volte anche un sistema di allarme Dal momento che le transazioni commerciali anche di notevole importanza eseguite attraverso i computer aumentano con enorme rapidit non pi possibile ignorare i pericoli esistenti A volte le informazioni archiviate in un computer ad esempio annotazioni su clienti e offerte vengono considerate poco importanti Tuttavia facile immaginare quali sar
184. ia la registrazione la duplicazione o la pubblicazione in formato elettronico e cos via Copyright 1998 2001 EnterNet Technologies Tutti i diritti riservati 3Com 3c509 EtherLink III e 3Com 3c905 Fast EtherLink 10 100 sono marchi di 3Com Corporation Intel EtherExpress PRO 100 un marchio di Intel Corporation Novell Netware un marchio di Novell Inc MS DOS Windows 95 98 NT Microsoft Access e Internet Explorer sono marchi di Microsoft Corporation Caldera DR DOS un marchio di Caldera Inc Netscape Navigator un marchio di Netscape Communications Corporation WS_FTP un marchio di Ipswitch Inc Adobe Acrobat un marchio di Adobe Systems Inc EnterNet FireWall EnterNet FireWall Manager ed EnterNet FireWall Logger sono marchi di EnterNet Technologies Tutti gli altri marchi appartengono ai rispettivi proprietari 1 2 Convenzioni tipografiche Per il testo normale viene utilizzato questo carattere Il testo per il quale richiesto l input dell utente in carattere a larghezza fissa I nomi di menu comandi cartelle pulsanti o tutti gli altri riferimenti al software in Grassetto di solito con la prima lettera maiuscola 13 Aggiornamenti Gli aggiornamenti al presente Manuale utente si possono scaricare in formato PDF di Adobe Acrobat all indirizzo http www enternet net 2 Introduzione alla protezione di rete 2 1 Introduzione ormai un dato di fatt
185. iassunto nel modo seguente e Consente tutte le connessioni originate dall interno tranne NetBIOS tramite traduzione dinamica dell indirizzo e Consente l accesso HTTP a un indirizzo pubblico che a sua volta viene tradotto staticamente in un server Web con indirizzo privato sulla rete interna e Consente l accesso SMTP a un indirizzo pubblico che a sua volta viene tradotto staticamente in un server di posta con indirizzo privato sulla rete interna 1 Drop ANY all nets all nets UDP ALL gt 137 2 Drop ANY all nets all nets Ports ALL gt 135 139 LOG Queste due regole garantiscono che il traffico NetBIOS venga bloccato in tutte le direzioni In realt non sono state studiate per il blocco del traffico NetBIOS in entrata quanto per quello in uscita Tuttavia il fatto che queste regole appaiano prima nella configurazione significa che un protocollo non sicuro come questo non viene mai autorizzato erroneamente a passare nella configurazione Inizialmente la prima regola potrebbe apparire inutile Tuttavia la registrazione viene attivata solo per la regola 2 La porta 137 UDP del tipo NetBIOS Name Resolution cosa che si verifica pi o meno costantemente Di conseguenza non viene registrata Se si riceve il traffico UDP verso la porta 137 esso verr eliminato senza essere registrato dalla regola 1 poich la prima regola compatibile invece di venir eliminato e registrato dalla regol
186. ibile e che la procedura di accesso proseguir senza ritardi 206 EnterNet FireWall 8 5 5 Esempio 5 DMZ ProxyARP Il modello di configurazione DMZ ProxyARP si basa sul modello DMZ Questo modello presenta le stesse funzionalita di base ma consente inoltre agli host DMZ di conservare gli stessi indirizzi e allo stesso tempo di non dover creare una rete router tra il router esterno e il firewall Cio possibile utilizzando la funzione Proxy ARP che consente di inserire il firewall tra il router esterno e le reti protette senza dover apportare delle modifiche a router o a host nella zona demilitarizzata Gli host nella rete interna per dovranno essere riconfigurati per poter utilizzare la nuova estensione dell indirizzo privato IP Differenze e Larete extnet scomparsa Il firewall riceve l informazione che esiste solo un indirizzo IP connesso direttamente all adattatore di rete esterno il router esterno e Il percorso extnet sostituito da gw world 32 e La funzione Proxy ARP viene utilizzata per pubblicare gw world nel settore interno del firewall In questo modo gli host DMZ non devono modificare il gateway predefinito nelle impostazioni di rete e Tutti gli indirizzi nella zona demilitarizzata vengono pubblicati mediante Proxy ARP nell interfaccia esterna del firewall In questo modo il router esterno non deve essere riconfigurato e Non pit necessario effettuare la traduzione dell indiri
187. icato nella finestra di dialogo non influenza la configurazione del firewall ma definisce solamente l indirizzo che FireWall Manager tenter di utilizzare durante la comunicazione con il firewall Il nome specificato nel campo Name rappresenta un identificatore univoco per il firewall Esso ha un valore puramente simbolico e non ha alcun effetto sul firewall Dal menu a discesa Create as version possibile specificare la versione di EnterNet FireWall per la quale stato progettato il nuovo elemento di configurazione comunque possibile installare nel firewall la versione desiderata indipendentemente dall opzione specificata in Create as version Poich FireWall Manager in grado di gestire le configurazioni tramite diverse versioni di EnterNet FireWall necessario conoscere la versione del firewall che si desidera utilizzare Infatti dal numero di versione dipende la modalit di configurazione del nuovo firewall EnterNet FireWall Manager L elenco a discesa Storage consente di selezionare origine dati nella quale archiviare le informazioni relative al nuovo firewall La gestione delle voci incluse nell elenco viene descritta nel paragrafo 7 2 4 Menu Tools Definizione dell origine dati di amministrazione La casella di riepilogo Copy configuration file consente di selezionare un file di configurazione da utilizzare come modello per il nuovo firewall Tuttavia anche i firewall precedentemente creati poss
188. icezione di dati di log con formato syslog LAL 28 EnterNet FireWall 3 4 1 Esempio 1 soluzione di protezione perimetrale tradizionale Nella figura viene illustrato l uso di EnterNet FireWall in una soluzione di protezione perimetrale tradizionale Il firewall ha tre schede di rete di cui una viene utilizzata per le connessioni Internet e un altra per i collegamenti a una rete interna sulla quale installata una workstation che esegue EnterNet FireWall Manager Infine la terza scheda di rete collegata a una zona demilitarizzata che ospita due server uno dei quali esegue il sevizio EnterNet FireWall Logger EnterNet FireWall 29 3 4 2 Esempio 2 soluzione di protezione segmentata Ei Da un punto di vista della sicurezza non mai consigliabile installare nello stesso segmento di rete pi server ad accesso pubblico Infatti indipendentemente dal fatto che il segmento rappresenti una zona demilitarizzata o meno un singolo segmento di rete costituisce sempre una strada aperta agli intrusi indesiderati Per questo motivo necessario segmentare il pi possibile le reti che contengono server pubblici In questo esempio viene illustrato l uso di EnterNet FireWall in una soluzione che prevede un elevata segmentazione della rete Il firewall ha cinque schede di rete di cui una viene utilizzata per le connessioni Internet e un altra per i collegamenti a una rete interna sulla quale in
189. iene quando una macchina sulla rete si accorge che il traffico verso un indirizzo dovrebbe invece essere diretto ad un altro Questi messaggi non hanno alcun uso pratico oggi se non quello di permettere agli intrusi indesiderati di reindirizzare a s stessi il traffico tra due parti Questo tipo di messaggio non dovrebbe essere mai autorizzato all interno di una rete protetta Poich EnterNet FireWall non utilizza protocolli di instradamento quali RIP o OSPF i messaggi di reindirizzamento possono rappresentare in alcuni casi un indicazione che deve essere aggiunto un percorso alla tabella di instradamento Pu rivelarsi quindi utile la registrazione dei messaggi di reindirizzamento Nota sconsigliabile autorizzare il passaggio di messaggi ICMP Redirect su reti protette EnterNet FireWall Manager ICMP Time Exceeded Questo messaggio segnala in genere che il contatore TTL Time To Live del pacchetto IP ha raggiunto il valore 0 e che quindi non sara in grado di raggiungere la destinazione Cid pu essere dovuto al fatto che l impostazione della macchina relativa alla trasmissione del TTL sui pacchetti troppo bassa in Windows 95 i pacchetti vengono inviati con il TTL impostato in modo predefinito su 32 un valore medio che consente di raggiungere tutti i punti presenti in Internet Tuttavia l uso pi comune del messaggio Time Exceeded con il comando Traceroute Questo comando invia un numero di pacchetti con vari TT
190. igurazione Settings Sintassi settings Mostra i gruppi di impostazioni disponibili Sintassi settings lt group_name gt Mostra le impostazioni per un gruppo specifico Sono disponibili i seguenti gruppi di impostazione IP IP Internet Protocol TCP TCP Transmission Control Protocol ICMP ICMP Internet Control Message Protocol ARP ARP Address Resolution Protocol State Impostazioni stateful inspection ConnTimeouts Timeout di connessione predefinita LengthLim Limiti di lunghezza predefinita nei protocolli Frag Impostazioni di frammentazione Log Impostazioni del log Misc Impostazioni varie Per ulteriori informazioni sulle singole impostazioni consultare la sezione 7 3 2 Scheda Settingsscneaa Settings Shutdown shut Sintassi shutdown lt seconds gt Istruisce il firewall ad eseguire la chiusura della sessione entro un certo numero di secondi Non necessario chiudere la sessione prima che il firewall venga spento poich non vi sono file aperti durante il funzionamento Stats st Mostra le statistiche e i contatori SymNames symn Consente di passare alla visualizzazione dei nomi simbolici Se la funzione SymNames disattiva gli altri comandi della console visualizzeranno gli IP numerici e gli indirizzi di rete invece dei nomi simbolici 168 EnterNet FireWall 8 3 Supporti di avvio di EnterNet FireWall I supporti di avvio di EnterNet FireWall includono generalmente il sistema Caldera DR DOS un
191. igurazione del traffico Impostazione predefinita 512 EnterNet FireWall Manager 7 33 Scheda Hosts E Configuration of gw myorganisation 192 168 123 1 Settings Hosts Nets Pipes Interfaces ARP Routes Access Rules Loghosts Remotes Comments 1 192 168 123 1 IP Address and Broadcast address of intemal interface 2 192 168 123 255 3 ip_ext 194 1 2 2 IP Address and Broadcast address of external interface La scheda Hosts consente di specificare le coppie di nomi simbolici e di indirizzi IP numerici Cid consente di semplificare l amministrazione del firewall poich i nomi simbolici possono essere utilizzati al posto degli indirizzi IP numerici laddove vengono richieste tali informazioni Gli elementi aggiunti qui sono visualizzati anche automaticamente in elenchi a discesa dove possibile specificare indirizzi IP e o nomi host L utilizzo di nomi simbolici fornisce all utente i seguenti tre vantaggi aumenta la leggibilit riduce il rischio di immettere indirizzi IP numerici non corretti e consente di modificare gli indirizzi IP in modo pi facile nel caso in cui l indirizzo di un server ad esempio fosse cambiato Utilizzando i nomi simbolici invece di indirizzi IP numerici necessario eseguire le modifiche in una singola posizione nella scheda Hosts invece che in ciascuna sezione di configurazione in cui appaiono tali indirizzi Non necessario utilizzare i nomi simbolici in tutt
192. indirizzi vengono utilizzati nella sezione Rules per implementare la traduzione dell indirizzo statico e consentire la connessione rispettivamente alle porte 80 25 e 53 Gli indirizzi sopra descritti vengono pubblicati automaticamente nella sezione ARP Se questi vengono modificati in un indirizzo differente dall IP esterno del firewall sara probabilmente necessario che questo risponda alle query ARP per tali indirizzi In questo caso il traffico destinato a tali indirizzi sar diretto al firewall Se il traffico verso tali indirizzi era instradato comunque al firewall gli indirizzi non saranno pubblicati La pubblicazione ARP che sia necessaria o meno non provocher alcun danno 15 int mail 0 0 0 0 Se il sistema di inoltro della posta che si trova nell area DMZ sta per inviare la posta ad un server interno l opzione int mail deve essere impostata in base all indirizzo del server di posta interno 16 dnsslave 0 0 0 0 Se esiste un server DNS secondario backup per l area che si trova all esterno dei propri uffici l opzione Dnsslave deve essere impostata in base all indirizzo di quel server Tale indirizzo viene utilizzato nella sezione Rules per consentire le connessioni TCP verso la porta 53 del server DNS In genere viene utilizzato il protocollo UDP per eseguire la query DNS In base a tale configurazione chiunque autorizzato a farlo Tuttavia quando un server DNS secondario deve trasferire
193. io OS Finger printing Open Shortest Path First OSPF Passive Mode POP3 Post Office Protocol OS Fingerprinting una tecnica che rileva le propriet dei vari sistemi operativi e le utilizza per determinare quale sistema operativo stia utilizzando una determinata macchina senza conoscere molti altri dettagli Anche se OS Fingerprinting in s non rappresenta una minaccia per la sicurezza pu comunque essere utilizzato dai pirati informatici nel corso dei lavori preparatori per scoprire quale forma di violazione potrebbe avere successo OSPF un protocollo utilizzato in una rete delimitata per lo scambio dinamico di informazioni di instradamento OSPF sta sostituendo RIP come protocollo standard per questo tipo di scambi Rispetto a RIP OSPF pu gestire informazioni di instradamento pi complesse ricerca percorsi pi rapidi nelle reti complesse e supporta anche un certo livello di sicurezza autenticazione EnterNet FireWall attualmente non supporta RIP n OSPF Consultare la sezione delle domande frequenti FAQ Vedere Open Shortest Path First FTP in Passive Mode significa che il client FTP crea il canale dei dati nel quale vengono trasferiti i file Vedere anche FTP e Active Mode Vedere Post Office Protocol POP viene utilizzato per scaricare e mail da un server di posta e inviarle alla cassetta postale di un computer che non sia costantemente connesso a Internet La versione corrente di POP l
194. ione Impostare i limiti in modo che corrispondano esattamente alla larghezza di banda in entrata comporta per due rischi e Nell ipotesi peggiore si potrebbero avere alcuni pacchetti per secondo vaganti che consumano una frazione della larghezza di banda della connessione Di conseguenza i pipe non rilevano di aver raggiunto il limite e Esisteinoltre il rischio molto pi concreto che gli adeguamenti impieghino troppo tempo dal momento che il pipe rileva solo un leggero sovraccarico Se il sovraccarico leggero verranno effettuati solo piccoli adeguamenti e per questo l adattamento alle distribuzioni delle nuove precedenze pu avvenire molto lentamente a volte addirittura in mezzo minuto Naturalmente esiste anche il rischio di sovraccarico della connessione Dal momento che la gestione del traffico riguarda l uscita del collo di bottiglia non si ha il controllo su ci che vi entra Se la gestione riguarda normali TCP il modulo di gestione del traffico non incontrer grossi problemi e anche se i client interni sollecitano la connessione inviando ACK o altro non otterranno grossi risultati dal momento che il modulo di gestione del traffico continua ad accodare i pacchetti destinati a loro Configurazione del traffico La gestione del traffico all uscita di un collo di bottiglia per non protegge dalle violazioni che provocano esaurimento delle risorse quali DDoS o altri intasamenti In caso di bombardamento
195. ione nella stessa directory senza sovrascrivere la versione 5 x 2 Avviare la versione 5 x di FireWall Manager Verificare che le regole di aggiornamento di tutti i firewall consentano di stabilire una connessione con la porta TCP 999 corrispondente alla workstation di gestione Se la workstation di amministrazione si trova nella rete interna la connessione viene autorizzata per impostazione predefinita dalla regola FwdFast che permette al traffico di ritornare sull interfaccia interna del firewall Qualora fosse necessario apportare modifiche caricare la configurazione nel firewall 4 Selezionare Upload New Core dal menu Firewall Advanced Selezionare la versione 6 0 del firewall nella finestra di dialogo Il file viene denominato FWC_600 exe Al termine dell operazione riavviare il firewall o i firewall 5 Chiudere FireWall Manager Avviare l utilit DB Convert installata dal CD di EnterNet FireWall 6 0 Aggiornamento dalla versione 5 x 7 Tale utilit si collegher al database di amministrazione FWList e visualizzer un elenco di tutti i firewall con versione 5 x disponibili Selezionare i firewall che si desidera aggiornare fare clic su Add e quindi su Convert 8 Avviare la nuova versione di FireWall Manager Il programma richieder se si desidera collegare il database di amministrazione FWList Selezionare Yes 9 Per aumentare la sicurezza durante l amministrazione remota selezionare l opzione Cha
196. ip_ext 32 All gt 80 e II traffico esterno verso ip_ext 80 che soddisfa le regole 1 e 5 verr quindi inviato a wwwsrv Corretto e I traffico di ritorno da wwwsrv 80 soddisfa le regole 2 e 3 Corretto e Iltraffico interno verso ip_ext 80 che soddisfa le regole 1 e 4 verr quindi inviato a wwwsrv L indirizzo del mittente sar l indirizzo IP interno del firewall in modo da garantire che il traffico di ritorno passi attraverso il firewall e Jl traffico di ritorno sar automaticamente gestito dal meccanismo di ispezione sullo stato del firewall Corretto 8 2 Console del firewall La console di EnterNet FireWall un interfaccia a riga di comando Consente un analisi dettagliata dei diversi aspetti statistici del firewall nonch una diagnostica avanzata Gli amministratori che dispongono dei diritti NetCon possono utilizzare questa console mediante la rete utilizzando EnterNet FireWall Manager Entert neUa 36 9 3068 cene Low pps bps per interface EnterNet FireWall 6 60 06 gopysisht EnterNet Sweden 1996 2881 All rights reserved Jan 26 2681 Reading previous random state from efwrand bin OK Configuring from A FIREHALL FWCORE CFG Configuration done NetCon initialization complete Memory Buffer size is 20854 bytes 1992 bytes raw data Memory Using a total of 188 packet buffers 375128 bytes dnterfacesi IPAddy 18 20 250 2 Packet driver 6x68 Handies Gx 1fa xi IPAddr 16 20 68 Hw
197. ipidi opzioni nei protocolli IP e TCP e le combinazioni di flag nei protocolli IP e TCP e le sovrapposizioni o i frammenti non validi Zone demilitarizzate DMZ Demilitarized Zones possibile posizionare nelle zone demilitarizzate i server accessibili pubblicamente e collegarli a Enternet FireWall tramite un apposita scheda di rete separata Questa procedura consente di proteggere i server e fare in modo che essi non rappresentino un pericolo per la rete interna Infatti sar impossibile utilizzarli come mezzo per attaccare la rete EnterNet FireWall consente di creare numerose zone separate collegate tra loro tramite interfacce firewall distinte Traduzione dell indirizzo di rete NAT Network Address Translation EnterNet FireWall supporta la traduzione dinamica degli indirizzi spesso denominata NAT Hide NAT Dynamic o IP masquerading 24 EnterNet FireWall Gli indirizzi IP delle reti protette vengono nascosti all esterno e tutto il traffico in uscita sembra provenire da un unico indirizzo ovvero l indirizzo IP esterno del firewall inoltre possibile specificare l indirizzo di origine utilizzato dai vari utenti Traduzione statica dell indirizzo SAT Static Address Translation Conosciuta anche come NAT Static consente al firewall di pubblicare uno o pi indirizzi IP tramite una scheda di rete esterna e quindi di inoltrare i dati ad altri indirizzi IP di una rete interna Tale funzione consente inoltre
198. ive garanzie raggiunge std in con precedenza 0 la precedenza di massimo carico dei pipe std in e ssh in In questo caso importante ordinare i pipe nella concatenazione di ritorno Se std in viene posto prima di ssh in e telnet in il traffico raggiunge std in solo come precedenza 0 e deve perci competere come il resto del traffico per i 256 kbps di larghezza di banda disponibile 10 2 3 Raggruppamento degli utenti di un pipe Se le funzionalit dei pipe fossero ristrette a quanto descritto sino ad ora il traffico sarebbe limitato indipendentemente dall origine e dalla destinazione Questa modalit operativa pu essere sufficiente per la semplice gestione del traffico e banda garantita EnterNet FireWall per in grado di raggruppare il traffico in ogni pipe In questo modo il traffico viene classificato e raggruppato in base alla sorgente o alla destinazione di ciascun pacchetto che attraversa il pipe possibile effettuare il raggruppamento in base alla rete all indirizzo IP oppure alle porte sorgente o destinazione Nel caso di raggruppamento in base alla rete possibile specificarne le dimensioni I casi di raggruppamento in base alla porta includono anche l indirizzo IP dal momento che la porta 1024 del computer A non appartiene allo stesso gruppo della porta 1024 del computer B Il raggruppamento offre il vantaggio di poter applicare ulteriori controlli di larghezza di banda a ciascun gruppo Ci significa
199. ivo mittente Se non viene utilizzata la traduzione dinamica dell indirizzo non ha importanza se due computer scelgono lo stesso numero di porta di origine in quanto i rispettivi indirizzi IP saranno diversi 150 EnterNet FireWall Tuttavia quando utilizzata la traduzione dinamica dell indirizzo le porte di origine rischiano di entrare in conflitto dato che tutti gli indirizzi del mittente saranno gli stessi Di conseguenza la porta di origine deve essere modificata 8 1 4 Traduzione di intervalli di indirizzi e di porte EnterNet FireWall pu tradurre intervalli di indirizzi IP e o porte Tali traduzioni sono trasposizioni vale a dire che ogni indirizzo o porta viene mappata su un indirizzo o porta corrispondente nel nuovo intervallo piuttosto che tradurli tutti con lo stesso indirizzo o porta SAT ANY all nets 194 1 2 16 28 TCP ALL gt 80 SetDest 192 168 0 50 80 Questa regola genera una traduzione 1 1 di tutti gli indirizzi nell intervallo 194 1 2 16 94 1 2 31 all intervallo 192 168 0 50 192 168 0 65 Tutti i tentativi di connessione all indirizzo 194 1 2 16 porta 80 avranno come risultato la connessione all indirizzo 192 168 0 50 Tutti i tentativi di connessione all indirizzo 194 1 2 24 porta 80 avranno come risultato la connessione all indirizzo 192 168 0 58 SAT ANY all nets wwwsrv pub 32 TCP ALL gt 80 85 SetDest wwwsrv priv 1080 Questa regola genera una trad
200. l Manager in uso possibile effettuare tali modifiche tramite l applicazione FireWall Manager collegata a un altro database di amministrazione oppure direttamente dal disco di avvio Non consigliabile gestire un singolo firewall da due database separati a meno che non si sia a conoscenza dei rischi che ne potrebbero derivare 7 2 1 Barra degli strumenti EE a a e Nella barra degli strumenti relativa all elenco dei firewall sono disponibili collegamenti che semplificano l accesso alle funzioni seguenti e Propriet del firewall selezionato consultare la sezione 7 2 3 propriet e Configurazione del firewall selezionato consultare la sezione 7 2 3 Configurazione e Connessione alla console del firewall selezionato consultare la sezione 7 2 3 Console e Statistiche per il firewall selezionato consultare la sezione 7 2 3 Statistiche e Visualizzazione in tempo reale dei dati di log relativi al firewall selezionato consultare la sezione 7 2 3 Mostra in tempo reale e Aggiornamento dello stato del firewall e tempo di attivit nell elenco del firewall EnterNet FireWall Manager 7 2 2 Menu File Print Ctrl P Print Preview P rint Print Setup Exit Consente di stampare l elenco dei firewall Print Preview Consente di visualizzare un anteprima del documento attivo Print Setup Consente di modificare le impostazioni della stampante per il documento attivo E
201. l GroupWise altro Se lo si colloca in una zona demilitarizzata i computer non avranno accesso alle funzioni avanzate che offre E possibile collocarlo in una rete protetta e consentire comunque la ricezione di e mail da Internet S Esistono quattro possibili soluzioni a questo problema e possibile collocare un sistema di inoltro della posta nella zona demilitarizzata e renderlo accessibile da Internet Questo a sua volta pu comunicare con il server di posta interno mediante SMTP Questa la soluzione pi sicura Un sistema di inoltro della posta pu anche verificare la presenza di virus e implementare altre misure di sicurezza sulla posta in entrata e Se il server di posta interno dispone solo di un indirizzo IP privato possibile impostare nel firewall una regola SAT che traduca il traffico destinato all indirizzo IP esterno del firewall porta 25 all indirizzo del server di posta interno porta 25 necessario aggiungere una regola corrispondente Allow per consentire effettivamente il passaggio del traffico attraverso il firewall e Se il server di posta dispone di un indirizzo IP pubblico possibile consentire semplicemente il passaggio del traffico SMTP alla porta 25 Domande frequenti FAQ e Se il server di posta non dispone di un indirizzo pubblico e non si desidera utilizzare la traduzione statica di indirizzo possibile selezionare un indirizzo IP dall intervallo esterno e aggiung
202. l client Se viene utilizzato FTP in Passive Mode il canale dei dati viene aperto dal client al server Firewall Una speciale unit o server di rete con insiemi di regole che determinano a quale tipo di traffico pu essere consentito il passaggio attraverso le sue varie direzioni Mentre un router si concentra sull IP un firewall generalmente esamina protocolli pi specifici quali TCP UDP e ICMP In alcuni casi i firewall controllano anche i dati contenuti nei protocolli di applicazione trasportati da TCP UDP e ICMP Una seconda definizione del termine Firewall pu essere procedure politiche e sistemi stabiliti che proteggono una azienda da intrusioni 300 Glossario Firewalking Frammentazione FTP Full Duplex Gateway Half Duplex HTTP Una tecnica utilizzata per rivelare gli indirizzi privati che stanno dietro un firewall che traduce indirizzi Pu essere descritta brevemente come un percorso di rilevamento modificato e specializzato IP pu trasportare fino a 65536 byte di dati La maggior parte dei supporti per come ad esempio Ethernet non in grado di trasportare pacchetti di queste dimensioni Lo stack IP risolve questo problema frammentando i dati da inviare in vari pacchetti separati ognuno dei quali dispone di proprie intestazione e informazioni IP che consentiranno al destinatario di riassemblare correttamente il pacchetto originario La frammentazione per aumenta il pericolo della
203. la configurazione del firewall sono archiviate centralmente come insieme di file di dati oppure in uno o pi database compatibili con ODBC All interno di questo documento archivio dei dati relativi alla configurazione verra denominata origine dati indipendentemente dal tipo di memoria utilizzato E possibile installare configurare ed eseguire EnterNet FireWall senza FireWall Manager Tuttavia questa procedura non consigliata agli utenti meno esperti EnterNet FireWall Logger FireWall Logger consente di ricevere e archiviare i dati di log provenienti dal firewall Per ridurre l utilizzo dei dispositivi hardware e migliorare le prestazioni non avviene alcuna registrazione all interno del computer firewall Piuttosto i dati vengono memorizzati nella macchina sulla quale stato installato FireWall Logger come servizio Generalmente si tratta di server o workstation che eseguono Windows NT 4 0 o successivo Attualmente sono in corso aggiornamenti di FireWall Logger per renderlo compatibile con i vari linguaggi Unix Ogni firewall pu inviare dati di log a un massimo di otto FireWall Logger EnterNet FireWall in grado di inviare dati di log ai terminali syslog Se il sistema viene utilizzato solo per quest ultimo tipo di trasmissioni non sar necessario installare FireWall Logger 3 4 Esempi di architetture di rete I firewall tradizionali vengono spesso progettati per uno scopo particolare ovvero la protezione p
204. laggio dei frammenti Include i tentativi in corso e quelli gia completati gt frags RecvIf Num State Source Destination Proto Next Timeout int 2 Done 10 25 33 2 206 23 98 4 ICMP 2000 58 ext 8 Accep 203 3 98 10 5 3 2 ICMP 1480 60 164 EnterNet FireWall Hosts hos Mostra il contenuto della sezione Hosts nella configurazione IfStat i Sintassi ifstat Mostra un elenco delle interfacce installate nel firewall Sintassi ifstat lt interface name gt Mostra le statistiche hardware e software per il NIC specifico gt ifstat int Iface 0 int Builtin 3c509 3Com 3c905B TX Slot 10 0 IRQ 11 Flags full duplex polled Media Autonegotiate Link Partner 100BASE X 100BASE X FDX IP Address 1 l ID A a P e Hw Address 0010 4bb2 9ef7 Software Statistics Soft received 5 Soft sent 6 Net congested 0 Send errors 0 Dropped 2 Wrong IP ver 0 IP Input Errs 0 ICMPRedirects 0 Hardware statistics IN packets 20 bytes 5000 errors 0 dropped 0 OUT packets 28 bytes 1680 errors 0 dropped 0 Multicast packets o Collisions 0 In Length errors 0 In Buffer overruns 0 In CRC errors 0 In Frame errors 0 In FIFO errors 0 In Packets missed 0 Out Sends aborted 0 Out Carrier errors o Out FIFO errors 0 Out Heartbeat errors 0 Out Window errors o Il contatore Dropped della sezione Software indica il numero di pacchetti eliminati dopo i test di integrit strutturale oppur
205. le macchine presenti nell area DMZ di eseguire query DNS verso reti esterne Su queste comunicazioni viene eseguita la traduzione dinamica dell indirizzo utilizzando l indirizzo esterno del firewall come indirizzo del mittente 16 Drop dmz all nets all nets AII LOG La regola 16 consente di bloccare tutte le altre comunicazioni dall area DMZ e le registra con un avviso di alta priorit In tal modo possibile attribuire una comunicazione inattesa dai server nell area DMZ ad un intrusione Le comunicazioni autorizzate da questi server devono perci essere limitate ad un valore minimo per aumentare la possibilit di scoprire tali attacchi e di rendere sempre pi difficile l accesso di un intruso alle altre parti del sistema 17 Reject ANY all nets ip_ext 32 TCP ALL gt 113 18 Drop ANY all nets all nets All Le regole 17 e 18 non sono in relazione diretta con la protezione Il traffico che non soddisfa nessuna delle regole incluse nel set viene sempre scartato senza essere registrato E per questo motivo che conviene aggiungere una regola finale che oltre a scartare il traffico lo registra EnterNet FireWall 195 La regola 17 necessaria poich molti server FTP in Internet eseguono tentativi di apertura di connessioni verso il mittente quando vi si accede La porta 113 stata ideata per ident daemon che nei sistemi Unix consent
206. le porte 1024 65535 Tale indirizzo viene utilizzato nella sezione Routes per dirigere al server ubicato nell area DMZ tutto il traffico verso questo indirizzo La funzione Proxy ARP viene attivata sull interfaccia esterna per questo percorso in modo da istruire il router esterno a inviare al firewall il traffico destinato al server FTP EnterNet FireWall 187 Descrizione della sezione Routes La sezione di configurazione Routes merita un attenzione particolare in quanto la situazione di instradamento leggermente atipica Il server FTP che dispone di un indirizzo pubblico IP ottenuto dall intervallo esterno di indirizzi IP si trova nell area DMZ insieme ad altri server che hanno indirizzi privati Ifaces Net Gateway ProxyARP 1 int intnet Il percorso 1 normale il traffico verso la rete interna viene instradato attraverso l interfaccia interna 2 dmz ftpsrv 32 ext Il percorso 2 atipico il traffico verso il server FTP viene instradato attraverso l interfaccia DMZ nonostante il fatto che ftpsrv appartenga normalmente alla rete esterna se si considera il relativo indirizzo Inoltre l indirizzo viene pubblicato anche sull interfaccia esterna mediante Proxy ARP in modo da istruire il router esterno a inviare al firewall il traffico destinato al server FIP 3 Jext extnet dmz Il percorso 3 abbastanza normale Il traffico verso la rete esterna vien
207. limite ad esempio di 10 pacchetti per secondo Purtroppo non possibile riportare numerosi esempi pratici sull utilizzo della gestione del traffico in questo Manuale utente Per consultare altri esempi di gestione del traffico visitate il nostro sito all indirizzo http www enternet net Il sito include numerosi esempi di configurazione per i contesti di gestione del traffico ed esempi di normale utilizzo di firewall e VPN Questi esempi illustrano anche strutture di rete e descrizioni guidate dei file di configurazione 11 Internet e TCP IP 11 1 Numeri di protocollo IP LIU FPF WN CZ 11 12 13 14 15 Le informazioni sono tratte dal sito all indirizzo http www isi edu in notes iana assignments protocol numbers che rappresenta la fonte pi aggiornata di numeri di protocollo registrati Per un breve riepilogo dei protocolli utilizzati pi frequentemente consultare la fine della presente sezione Nome HOPOPT ICMP IGMP GGP IP ST TCP CBT EGP IGP BBN RCC MON NVP II PUP ARGUS EMCON XNET Descrizione Hop by Hop Option IPv6 Internet Control Message Internet Group Management Gateway to Gateway IP in IP incapsulamento Stream Transmission Control CBT Exterior Gateway Gateway interno privato utilizzato da Cisco per IGRP BBN RCC Monitoring Network Voice Protocol Xerox PARC Universal Protocol ARGUS EMCON Cross Net Debugger 1883 792 1112 823 2003 1190 793
208. ll e le chiavi di crittografia per l amministrazione remota Consultare la sezione 8 3 per ulteriori informazioni sul contenuto del disco di avvio 6 6 2 Collegamento delle schede di rete del firewall Collegare le schede di rete del firewall alle rispettive reti Qualora l interfaccia esterna dovesse essere direttamente connessa a un router in contrapposizione ad un hub o uno switch sar probabilmente necessario utilizzare un cavo X Ethernet ovvero l equivalente Ethernet di un cavo null modem Operazioni preliminari 6 6 3 Installazione della chiave hardware Installare la chiave hardware nella porta parallela del firewall Senza questo dispositivo il software del firewall verr avviato in modalit demo e cesser di funzionare dopo due ore di attivit Quindi sar necessario riavviarlo 6 6 4 Avvio di EnterNet FireWall Manager Inserire il disco di avvio nel computer che ospiter il firewall e quindi riavviare il sistema Verificare che i driver della scheda di rete siano stati installati e che sia abilitata la console blu del firewall Se il firewall riuscito a leggere la configurazione e a utilizzare le schede di rete corrispondenti verr visualizzato il messaggio System Running Assicurarsi di poter accedere al firewall tramite FireWall Manager premendo FS o selezionando Refresh dal menu View Se tutto funziona correttamente verr visualizzata l icona del firewall senza punto interrogativo
209. loccare gli stack TCP scarsamente implementati e viene anche utilizzata dal fingerprinting del sistema operativo Impostazione predefinita DropLog TCPUrg Consente di definire le modalit di gestione da parte del firewall dei pacchetti TCP che includono flag URG attivati indipendentemente dagli altri flag Molte applicazioni e stack TCP gestiscono i flag urgenti nel modo sbagliato e possono pertanto smettere di funzionare nelle situazioni pi critiche Nonostante ci alcuni programmi quali FTP e MS SQL Server utilizzano quasi sempre il flag URG Impostazione predefinita StripLog TCPECN Consente di definire le modalit di gestione da parte del firewall dei pacchetti TCP che includono flag Xmas o Ymas attivati Tali flag sono molto utilizzati dal fingerprinting del sistema operativo Nota uno standard di prossima uscita denominato Explicit Congestion Notification utilizzer i flag TCP Tuttavia consigliabile eliminare tali flag dal momento che pochi sistemi operativi li supportano Impostazione predefinita StripLog TCPRF Consente di definire le modalita di gestione da parte del firewall delle informazioni incluse nel campo riservato dell intestazione TCP il cui valore generalmente corrisponde a 0 Questo campo non uguale ai campi Xmas e Ymas Utilizzato dal fingerprinting del sistema operativo Impostazione predefinita DropLog EnterNet FireWall Manager TCPNULL Consente di definire le modalita di ges
210. lude incude category x j E DROP Exclude Include fincude sicip 7 jn zl Il menu a discesa sulla sinistra consente di determinare se includere o escludere una voce di log che corrisponde ai criteri indicati nella riga Il secondo menu a discesa consente di specificare i parametri dei filtri Per ulteriori informazioni sui vari parametri consultare la sezione 9 4 Riferimenti E SQL Il terzo menu a discesa consente di determinare l operatore da utilizzare nel caso di filtro basato sui parametri specificati in precedenza Il menu a discesa sulla destra permettere di specificare i criteri La query viene eseguita selezionando Run Query dal menu Logger sulla barra dei menu o nel menu che appare facendo clic con il pulsante destro del mouse oppure premendo Ctrl E Se non vengono rilevati errori di sintassi la query ha inizio e si apre una finestra nella quale viene visualizzato l avanzamento della ricerca La visualizzazione Results viene aperta automaticamente una volta terminata la ricerca Auditing da EnterNet Firewall Le schermate di seguito mostrano due esempi diversi di query a LogQuery FWLogger Loix r Source Source Jow myorganisati e Last days z g Source Jow myorganisati z Times x Filter Exclude Include include z Jestegoy z JoROP Exclude Include include z ipproto x F x TCP Exclude Include include x destpont x E 137 Exclude Include SERS
211. ma non sono in grado di stabilire un contatto con il firewall Dal momento che non ho effettuato alcuna modifica all insieme di regole pu essere possibile che il problema sia dato da un errore del modello Provare ad utilizzare la guida per la risoluzione dei problemi che si trova al punto 6 7 Se il firewall non funziona D Ho installato un firewall e ho utilizzato uno dei modelli di Se la guida non risolve il problema contattare il rivenditore di fiducia o nel caso non possa essere di aiuto contattare il servizio di assistenza Enternet Per consultare la versione aggiornata di questa sezione visitare il sito http www enternet net 13 Glossario Active Mode Address Resolution Protocol ALG ARP ASP Active Server Pages Application Layer Gateway Application Service Provider Bastion Host CAN CIDR FTP in Active Mode significa che il server FTP crea il canale dei dati nel quale vengono trasferiti i file Vedere anche FTP e Passive Mode ARP il protocollo utilizzato per trovare l indirizzo hardware corrispondente a uno specifico indirizzo IP in una LAN ad esempio una Ethernet ARP non pu essere inoltrato attraverso router o firewall Vedere Application Layer Gateway Vedere Address Resolution Protocol Vedere Application Service Provider anche Active Server Pages File su server Web con linguaggi procedurali incorporati in documenti HTML Questi script possono essere scritti in linguagg
212. menu a discesa al centro offre quattro alternative per la definizione del periodo di tempo e Selezionare Times per inserire un intervallo di tempo nelle due caselle di testo vuote sulla destra necessario indicare le date nel formato standard ISO ovvero aaaa mm gg HH MM SS interrotto in qualunque punto Ad esempio se si desidera possibile omettere la parte relativa all ora del giorno e Scegliere Last days per limitare la ricerca agli ultimi n giorni dove n indicato nella casella di testo sulla destra e Selezionare Last full days per ottenere una ricerca simile alla precedente con la differenza che la ricerca comincia all inizio di un determinato giorno e include solo gli eventi fino alle 23 59 59 di ieri e Selezionare Last hours per limitare la ricerca alle ultime n ore dove n indicato nella casella di testo sulla destra e Selezionare Last full hours per ottenere una ricerca simile alla precedente con la differenza che la ricerca comincia all inizio di una determinata ora in maniera simile all opzione full days Sui dati di log dei vari firewall possibile eseguire query simultanee aggiungendo pi righe alla sezione Source _ Auditing da EnterNet Firewall 9 3 1 2 Definizione di filtri sugli eventi La sezione Filter fornisce funzioni che includono o escludono le voci dei log che corrispondono a determinati criteri Filter Exclude Include fincude srcip x n 3 192 168 123 5 Exclude Inc
213. mite traduzione dinamica dell indirizzo e Consente le comunicazioni NetBIOS dalla rete interna a DMZ mediante traduzione dinamica dell indirizzo e Consente l accesso HTTP a un indirizzo pubblico che a sua volta viene tradotto staticamente in un server Web con indirizzo privato sulla rete DMZ e Consente l accesso SMTP a un indirizzo pubblico che a sua volta viene tradotto staticamente in un server di posta con indirizzo privato sulla rete DMZ e Consente l accesso FTP ad un server FTP con un indirizzo pubblico situato in un area DMZ Ci include comunicazioni complete bidirezionali sulle porte 1024 65535 per garantire che il canale dei dati FTP funzioni correttamente in entrambe le modalit attiva e passiva e Consente ai server che si trovano nell area DMZ di eseguire query DNS a tutte le reti tranne quella interna e Consente ai server di posta che si trovano nell area DMZ di comunicare mediante SMTP con tutte le reti tranne quella interna 1 INAT jint intnet dmznet Ports ALL gt 135 139 La regola 1 autorizza le connessioni NetBIOS originate internamente verso un area DMZ mediante traduzione dinamica dell indirizzo Questa regola esplicita necessaria poich le regole 2 e 3 che seguono bloccano tutte le connessioni NetBIOS Il motivo per cui vengono tradotti gli indirizzi delle connessioni interne all area DMZ che non si desidera rivelare la struttura della rete interna
214. mo frammento Impostazione predefinita 65 secondi ReassTimeLimit Un tentativo di riassemblaggio verr sempre interrotto se stato superato il limite di tempo in secondi definito dall opzione ReassTimeLimit dopo l arrivo del primo frammento ricevuto Impostazione predefinita 90 secondi ReassDoneLinger Una volta riassemblato un pacchetto il firewall in grado di ricordarlo per un breve periodo di tempo in modo da evitare che arrivino altri frammenti di quel pacchetto quali ad esempio vecchi frammenti duplicati Impostazione predefinita 20 secondi EnterNet FireWall Manager ReassIllegalLinger Una volta contrassegnato l intero pacchetto come non valido il firewall in grado di conservarlo in memoria per impedire l arrivo di altri frammenti di quel pacchetto Impostazione predefinita 60 secondi 7 3 2 9 Impostazioni di auditing LogSendPerSecLimit Questa impostazione limita il numero di pacchetti registrati che il sistema EnterNet FireWall pu inviare ogni secondo Il valore non dovrebbe mai essere troppo basso poich potrebbero verificarsi eventi importanti che non vengono registrati Un valore troppo alto invece potrebbe causare problemi quando il firewall invia un messaggio di log al server in cui la funzione di ricezione del log non attiva Il server risponde con un messaggio ICMP UNREACHABLE che potrebbe portare il firewall ad inviare un altro messaggio di log che a sua volta generer un altro messag
215. n rispetta mai i percorsi di origine specificati da queste opzioni indipendentemente dall impostazione Impostazione predefinita DropLog EnterNet FireWall Manager IPOPT_TS Le opzioni relative all indicatore di orario consentono di comunicare a tutti i router e firewall il percorso del pacchetto per stabilire in quale ora esso stato inoltrato in quel percorso Tali opzioni non vengono utilizzate nel traffico normale Inoltre gli indicatori orari consentono di registrare il percorso intrapreso da un pacchetto dal mittente al destinatario finale EnterNet FireWall non consente di inserire dati all interno di queste opzioni indipendentemente dall impostazione in oggetto Impostazione predefinita DropLog IPOPT_OTHER Tutte le opzioni ad eccezione di quelle sopra descritte Impostazione predefinita DropLog DirectedBroadcasts Indica se il firewall inoltrer i pacchetti che sono diretti all indirizzo broadcast delle reti ad esso direttamente collegate possibile utilizzare tale funzione dalla sezione Rules dopo aver aggiunto delle righe Tuttavia l opzione inclusa anche in questo menu per semplificare le procedure Questo metodo di convalida pi veloce delle voci nella sezione Rules in quanto pi particolareggiato Impostazione predefinita DropLog IPRF Indica le operazioni che dovra eseguire il firewall se 1 campi riservati delle intestazioni IP contengono informazioni Generalmente
216. na macchina interna pu comunicare con vari server esterni utilizzando diversi protocolli IP e Pi macchine interne possono comunicare con vari server esterni utilizzando lo stesso protocollo IP e Pi macchine interne possono comunicare con lo stesso server utilizzando diversi protocolli IP e Pi macchine interne non possono comunicare con lo stesso server esterno utilizzando lo stesso protocollo IP Nota queste restrizioni si applicano solo ai protocolli di livello IP diversi da TCP UDP e ICMP ad esempio OSPF L2TP e cos via Non si applicano invece ai protocolli trasportati da TCP UDP e ICMP quali Telnet FTP HTTP SMTP e cos via Il firewall pu modificare le informazioni sui numeri delle porte nelle intestazioni TCP e UDP per rendere univoca ciascuna connessione anche se gli indirizzi del mittente di tali connessioni sono stati tradotti nello stesso IP Alcuni protocolli indipendentemente dal metodo di trasporto utilizzato possono causare problemi durante la traduzione dell indirizzo Sebbene non sia stato ancora redatto un elenco completo di questi protocolli per avere un idea di ci che pu causare tali problemi e per ottenere esempi dei protocolli inclusi consultare il paragrafo 8 1 6 pi avanti 8 1 3 Perch NAT Hide modifica la porta di origine Ogni connessione originata da indirizzi tradotti dinamicamente deve utilizzare un numero di porta univoco e una combinazione di indirizzi IP uguali al relat
217. ndirizzo IP archiviato nel database di amministrazione e utilizzato per le comunicazioni gestionali con il firewall possibile modificare la configurazione IP corrente del firewall tramite l apposita finestra di configurazione Vedere la sezione Configure Tuttavia non consente di apportare modifiche al firewall Questa finestra di dialogo consente di cambiare lo stato del firewall ad esempio possibile passare dallo stato attivo a quello inattivo Per visualizzare o non visualizzare i firewall modello o quelli non attivi nel relativo elenco selezionare le opzioni Show Inactive e Show Templates del menu View FireWall Manager non eseguir le ricerche sullo stato dei firewall contrassegnati come inattivi o modello inoltre possibile cambiare temporaneamente il numero di versione della configurazione del firewall utilizzando l elenco a discesa Modify version temporarily EnterNet FireWall Manager N Nota se viene modificato il numero della versione tramite questa finestra il firewall non verr aggiornato di conseguenza Poich FireWall Manager in grado di gestire le configurazioni tramite diverse versioni di EnterNet FireWall necessario conoscere la versione del firewall che si desidera utilizzare Infatti dal numero di versione dipende la modalit di gestione della configurazione del firewall esistente nella relativa finestra 7 2 3 1 Menu FireWall Advanced Edit Config File Consente di aprire la configur
218. ndo l ordine delle regole insignificante non possibile commettere errori Se stata selezionata l opzione 2 necessario adeguare il set di regole come segue SAT ANY all nets ip_ext 32 All gt 80 SetDest wwwsrv 80 NAT int intnet all nets All gt All Allow ANY all nets ip_ext 32 All gt 80 EnterNet FireWall 155 Questo significa che il numero di regole non ha bisogno di essere aumentato Cid pu andare bene finch si conoscono tutte le interfacce che comunicano con il server Web Tuttavia se in un punto successivo viene aggiunta un interfaccia di comunicazione con il server Web di cui non si ha fiducia le singole regole Drop dovrebbero essere collocate prima della regola che autorizza l accesso di tutte le macchine al server Web La scelta della migliore azione da intraprendere deve avvenire caso per caso prendendo in considerazione tutte le possibili circostanze 8 1 7 2 Server accessibile pubblicamente con un indirizzo privato su una rete interna L esempio riportato di seguito quello di un server Web con un indirizzo privato ubicato su una rete interna Dal punto di vista della sicurezza questo approccio non corretto poich i server Web sono molto vulnerabili e dovrebbero essere quindi situati in una zona demilitarizzata Tuttavia si scelto di utilizzare questo modello nel nostro esempio per la sua semplicit Affinch gli utenti esterni accedan
219. ne visualizzato in formato esadecimale 000000 00 10 4B B2 9E F 00 50 DA E9 24 F4 08 00 45 00 K P E 000010 00 3C CD 15 00 00 20 01 4B 9E CO A8 00 0B C1 OD lt K 000020 00 4D 08 00 44 SC 02 00 07 00 61 62 63 64 65 66 M DN abcdef 000030 67 68 69 6A 6B 6C 6D 6E 6F 70 71 72 73 74 75 76 ghijklmnopqrstuv 000040 77 61 62 63 64 65 66 67 68 69 wabcdefghi Dump a byte esadecimale di un pacchetto che ha avviato un evento di log Come detto all inizio della presente sezione la visualizzazione dei risultati pu essere utilizzata anche per creare determinati tipi di query basate sui risultati di una query precedente Questo possibile facendo doppio clic su un evento specifico nella sezione superiore della visualizzazione L evento selezionato deve disporre delle informazioni relative a sorgente e destinazione Selezionare New Query dal menu visualizzato e quindi selezionare una delle alternative dal sottomenu Viene quindi aperto un nuovo strumento di query nel quale preimpostata una query con l indirizzo selezionato e un intervallo di tempo che va da un ora prima a un ora dopo l evento registrato Auditing da EnterNet Firewall 9 3 3 Visualizzazione E SQL La visualizzazione E SQL consente di scrivere manualmente query utilizzando E SQL Il vantaggio maggiore deriva dalla possibilit di creare query molto pi avanzate rispetto a quelle che si ottengono utilizzando la visualizzazione Wizard
220. nessione Internet Configurazione del traffico 10 2 2 1 Gestione delle priorit Vediamo come utilizzare le precedenze per rendere determinati tipi di traffico pi importanti di altri Si riprenda l esempio precedente assegnando al traffico SSH e telnet una priorit pi elevata rispetto al rimanente traffico che attraversa i pipe Per questo primo esempio non necessario aggiungere o modificare nulla nella sezione Pipes Innanzitutto viene aggiunta una regola relativa al traffico SSH e telnet Source Net Dest If Dest Net Ports Params Fwd std o i ext all nets ALL gt 22 23 Fwd std 0 i TCP ext E Copiare le impostazioni del pipe dalla regola Standard Le precedenze erano gi state impostate su Use defaults from first pipe Questo significa che la regola non prevede I applicazione di una precedenza specifica ma lascia che sia la configurazione del primo pipe in ciascuna concatenazione a decidere Le precedenze predefinite di tutti i pipe Preeendenee configurati sino ad ora corrispondono a Reina 0 perci per ordinare il traffico in base UseFied M on alla priorit necessario predisporre la Map IP DSCP ToS regola per il passaggio del pacchetto alla concatenazione di pipe con una precedenza pi elevata ad esempio 1 Grazie a questa configurazione possibile ordinare il traffico SSH e telnet in base alla priorit prima di tutti gli altri tipi di traffico
221. nets wwwsrv pub 32 TCP ALL gt 80 SetDest wwwsrv priv 80 5 SAT ANY all nets mailfwd pub 32 TCP ALL gt 25 SetDest mailfwd priv 25 6 SAT ANY fall nets dnssrv pub 32 Ports ALL gt 53 SetDest dnssrv priv 53 Le regole da 4 a 6 consentono di implementare la traduzione statica dell indirizzo per la pubblicazione di server Web di posta e DNS tramite indirizzi pubblici Gli indirizzi pubblici vengono preimpostati nella sezione Hosts come equivalenti dell indirizzo IP esterno del firewall comunque possibile trasformarli in altri indirizzi pubblici 202 D EnterNet FireWall Notare che queste regole non consentono alcun passaggio di traffico Quando viene soddisfatta una delle due regole il firewall ricorda che la traduzione dell indirizzo verr eseguita successivamente continuando a cercare una regola che consenta la connessione In questa configurazione le regole necessarie vanno da 8 a 12 a seconda delle circostanze Fwd Jint intnet intnet All Questa regola consente al traffico proveniente dalla rete interna di ritornare alla rete interna utilizzando l inoltro del pacchetto senza stato In questa configurazione il motivo dell esistenza di questa regola non molto evidente Se si prende in considerazione per una rete pi estesa in cui il firewall funziona da gateway predefinito per un gran numero di router interni questa regola pu risultare estremamente
222. nge Firewall Keys dal menu FireWall Advanced affinch i firewall accettino solo il nuovo protocollo di gestione La vecchia implementazione del protocollo di gestione non pu utilizzare i nuovi file chiave e pertanto verr disabilitata 6 Operazioni preliminari 6 1 Avvio rapido Questo capitolo contiene una breve descrizione delle modalit di installazione ed esecuzione del software EnterNet FireWall Nei capitoli che seguono verranno illustrate nel dettaglio le varie funzioni tecniche e procedure Le fasi del processo di installazione di EnterNet FireWall sono le seguenti e preparazione delle componenti hardware per EnterNet FireWall e installazione di EnterNet FireWall Manager nella workstation che verr utilizzata per amministrare il firewall e preparazione della configurazione in FireWall Manager e creazione di un supporto di avvio per il firewall e avvio del firewall 6 2 Preparativi iniziali Prima di iniziare il processo di installazione effettivo necessario seguire due fasi preliminari che riguardano la preparazione dei componenti hardware del firewall e l installazione del software EnterNet FireWall Manager 1 Preparazione dei componenti hardware del firewall Preparare i dispositivi hardware che consentono di eseguire EnterNet FireWall Core Per maggiori informazioni sulla scelta e sulla configurazione dell hardware consultare la sezione 4 3 Scelta dei componenti hardware Operazioni preliminar
223. nistrazione pi avanti 7 13 Database di amministrazione Tutte le informazioni relative alla configurazione vengono archiviate come un insieme di file di dati e o all interno di uno o pi database compatibili con ODBC Il termine origine dati viene utilizzato in FireWall Manager per indicare i database ODBC e quelli basati su file Dopo aver installato EnterNet FireWall Manager verranno installati e configurati due origini dati basate su file e Default utilizzata per memorizzare i dati di configurazione relativi alle nuove impostazioni del firewall e Template utilizzata dai modelli di configurazione distribuiti con l installazione Se si esegue l aggiornamento di una vecchia versione di EnterNet FireWall Manager oltre alle origini dati sopra citate verr configurato automaticamente anche il file FWList basato su ODBC Per gestire il firewall da pi workstation necessario spostare il database in un server di file per consentire l accesso In alternativa possibile esportare il database in un server SQL Per ulteriori informazioni su come impostare e gestire i database di amministrazione consultare il paragrafo 7 2 4 Menu Tools Definizione dell origine dati di amministrazione EnterNet FireWall Manager 7 2 Finestra principale FireWall List La prima finestra che viene visualizzata all avvio dell applicazione corrisponde a un elenco dei firewall presenti nel database di ammini
224. nnections Specifica la modalit in cui il firewall registra le connessioni e NoLog Le connessioni non vengono registrate ne consegue che non importante se la registrazione attiva per le regole Allow o NAT nella sezione Rules Le connessioni non verranno comunque registrate Tuttavia le regole FwdFast Drop e Reject saranno registrate in base alle impostazioni della sezione Rules EnterNet FireWall Manager e Log Registra le connessioni in formato ridotto fornisce una breve descrizione della connessione della regola con cui stata autorizzata e le regole SAT applicabili Le connessioni saranno registrate anche quando sono chiuse e LogOC Simile all opzione Log ma include anche le informazioni sui due pacchetti che aprono e chiudono la connessione Se la connessione viene chiusa perch scaduta non verr registrato il pacchetto finale e LogOCAll Registra tutti i pacchetti coinvolti nell apertura e nella chiusura della connessione Nel caso del protocollo TCP tale opzione interessa tutti i pacchetti con i flag SYN FIN o RST attivi e LogAlIl Registra tutti i pacchetti della connessione Impostazione predefinita Log LogDisallowedReturnData Specifica se saranno registrati i tentativi per l invio dei dati di ritorno sulle connessioni unidirezionali Tali pacchetti vengono eliminati a prescindere dal fatto che siano o non siano registrati Impostazione predefinita ABILITATO 7 3 2 6 Timeout di una conn
225. nome simbolico per la regola Utilizzato principalmente come riferimento nei dati di log e Action Accept Expect o Drop Vedere di seguito e Log Specifica se e come viene eseguita la registrazione su una corrispondenza di regole EnterNet FireWall Manager Iface L interfaccia che il pacchetto deve raggiungere affinch venga soddisfatta la regola Eccezione la regola Expect vedere di seguito Iface L estensione IP a cui deve appartenere il mittente affinch venga rispettata la regola Le seguenti regole si applicano a diversi tipi di azioni inclusi nella sezione Access Drop Se l indirizzo del mittente del pacchetto corrisponde all estensione IP specificata da questa regola e se l interfaccia ricevente corrisponde a quella specificata da questa regola il pacchetto viene scartato La registrazione viene eseguita se attivata nella colonna Log Accept Se l indirizzo del mittente del pacchetto corrisponde all estensione IP specificata da questa regola e se l interfaccia ricevente corrisponde a quella specificata da questa regola il pacchetto viene accettato per ulteriori ispezioni ad esempio nella sezione Rules La registrazione viene eseguita se attivata nella colonna Log Expect Se l indirizzo del mittente del pacchetto corrisponde all estensione IP specificata da questa regola l interfaccia ricevente viene confrontata a quella specificata nella regola Se l interfaccia
226. nomi di rete simbolici fornisce all utente i seguenti tre vantaggi aumenta la leggibilit riduce il rischio di immettere indirizzi di rete non corretti e consente di modificare gli indirizzi di rete in modo pi facile nel caso in cui l indirizzo di rete ad esempio fosse stato cambiato Utilizzando i nomi simbolici invece di indirizzi numerici necessario eseguire le modifiche in una singola posizione nella scheda Nets piuttosto che in ciascuna sezione di configurazione in cui appaiono gli indirizzi Non necessario utilizzare i nomi simbolici in tutta la configurazione Se pi semplice immettere l indirizzo numerico di rete utilizzare quindi tale soluzione In questo modo non necessario impostare una nuova voce di rete e poi utilizzare il nome simbolico EnterNet FireWall Manager 7 3 5 Scheda Pipes E Configuration of gw myorganisation 192 168 123 1 Settings Hosts Nets Pipes Interfaces ARP Routes Access Bules Loghosts Remotes Max Grouping Net Size Total Limits Per User Limits Dynamic B 0 None Total 1024Kb Per SrclP Total 512Kb Total 512Kb La scheda Bi consente di specificare i pipe da utilizzare per la configurazione del traffico Utilizzando i pipe in una configurazione appropriata il firewall in grado di garantire la larghezza di banda della rete nonch di limitarne l utilizzo in base alle diverse reti e ai tipi servizi I pipe definiti nella tabella seguen
227. non corretto Se il firewall direttamente collegato ad un router o ad un host il cavo utilizzato per la connessione deve essere di tipo X ethernet Se si utilizza un altro cavo molto probabile che i led presenti sugli adattatori indichino l errore In alternativa possibile connettere il firewall e l altra unit a un hub separato Alcuni host non riescono a comunicare attraverso il firewall Quasi tutti i problemi misteriosi riscontrati nei supporti sono correlati all instradamento IP Se possibile eseguire il ping di un host dal firewall e viceversa probabile che l errore sia da attribuire alle regole Generalmente si tratta di un problema di instradamento piuttosto che di un errata configurazione del firewall Spesso per il problema causato anche da altri fattori e Se il computer host non utilizza la regola NAT il router all esterno del firewall in grado di restituire i messaggi attraverso il firewall Se la risposta no cambiare le tabelle di instradamento nel router esterno oppure pubblicare l indirizzo IP sull interfaccia esterna del firewall tramite Proxy ARP nella scheda dei percorsi oppure utilizzando direttamente le informazioni ARP contenute nella scheda ARP Operazioni preliminari e Jl gateway predefinito impostato correttamente nell host che presenta il problema e L hostin questione comprende pi di un NIC L altro NIC contiene un gateway predefinito che
228. nte il traffico a bassa priorit per lasciare spazio al traffico ad alta priorit e Offrire garanzie di larghezza di banda Ci possibile se si considera ad elevata priorit un determinato volume di traffico il volume garantito mentre il traffico che supera la garanzia ha la stessa priorit di tutto il resto del traffico ovvero deve competere con il resto del traffico non ordinato in base alla priorit Configurazione del traffico Una buona implementazione di traffic shaping generalmente non accoda elevati volumi di dati per poi ordinare il traffico in base alla priorita ed inviarlo prima del rimanente traffico ma cerca di misurare il volume di traffico ordinato in base alla priorita e quindi limita quello rimanente in modo che non interferisca con il flusso di traffico ordinato in base alla priorita EnterNet FireWall dispone di un modulo di traffic shaping flessibile e integrato nel software del firewall Dal momento che il firewall una parte centrale e vitale della rete si possono ottenere numerosi vantaggi affidando al firewall il controllo del traffico Il modulo di traffic shaping di EnterNet FireWall ha le seguenti caratteristiche Basato su pipe La gestione del traffico in EnterNet FireWall viene gestita con un concetto basato su pipe nel quale ogni pipe ha varie capacit di ordinamento in base alla priorit di limitazione e di raggruppamento possibile concatenare i singoli pipe in vari modi per c
229. nza predefinita Grouping La limitazione e la prenotazione del traffico possono applicarsi anche ai singoli utenti di un pipe allo stesso modo in cui vengono applicati globalmente a un pipe Gli utenti possono essere raggruppati in base alla rete di destinazione all indirizzo IP di destinazione alla porta di destinazione alla rete di origine all indirizzo IP di origine e alla porta di origine Nota il raggruppamento per porta significa implicitamente raggruppamento per IP la porta 1025 su un computer non uguale alla porta 1025 di un altro computer Net Size Se gli utenti sono raggruppati in base alla rete di origine e di destinazione la dimensione della rete deve essere specificata in questa impostazione Total Limit Mostra una breve panoramica dei limiti del traffico di rete per questo pipe Facendo clic su questa colonna si apre una finestra di dialogo che contiene informazioni dettagliate Consultare la sezione 7 3 5 1 Finestra di dialogo Total Limit pi avanti Per user Limit Mostra una breve panoramica dei limiti del traffico di rete relativo a ciascun utente per questo pipe Facendo clic su questa colonna si apre una finestra di dialogo che contiene informazioni dettagliate Consultare la sezione 7 3 5 2 Finestra di dialogo User Limit pi avanti Dynamic Balancing Determina se il bilanciamento dinamico della larghezza di banda debba essere applicato agli utenti di questo pipe EnterNet FireW
230. o requisito In caso contrario il pacchetto verr eliminato Tuttavia i pacchetti vengono sempre registrati indipendentemente dal fatto che il requisito sia soddisfatto o meno Si tratta di una funzione utile per le opzioni TCP poco utilizzate e cos via StripSilent Elimina le informazioni specifiche del pacchetto se presente senza effettuare la registrazione In alcuni casi viene verificata la correttezza di tali informazioni come in ValidateSilent StripLogBad Verifica la correttezza delle informazioni specifiche In caso di dati non corretti i pacchetti vengono eliminati e registrati Le informazioni vengono sempre cancellate dal pacchetto StripSilent Elimina le informazioni specifiche dal pacchetto se presenti Effettua sempre le registrazioni In alcuni casi viene verificata la correttezza di tali informazioni come in ValidateLog Drop Elimina sempre il pacchetto Non effettua la registrazione DropLog Effettua sempre la registrazione ed elimina il pacchetto Drop Elimina sempre il pacchetto Invia una risposta al mittente per comunicare che il pacchetto non stato autorizzato all accesso Non effettua la registrazione RejectLog Effettua sempre la registrazione ed elimina il pacchetto Invia una risposta al mittente per comunicare che il pacchetto stato rifiutato Ignore Ignora la presenza di informazioni specifiche Log Registra esclusivamente le informazioni specific
231. o ai pacchetti TCP con il flag SYN abilitato e ai pacchetti ICMP ECHO Per gli altri protocolli come UDP non possibile determinare se il peer remoto stia tentando di aprire una nuova connessione Impostazione predefinita ABILITATO EnterNet FireWall Manager LogState Violations Determina se il firewall deve registrare i pacchetti che violano il diagramma di commutazione dello stato previsto per una connessione ad esempio accettare 1 pacchetti TCP FIN in risposta ai pacchetti TCP SYN Impostazione predefinita ABILITATO MaxConnections Specifica il numero di connessioni che il firewall pu tenere aperte contemporaneamente Ciascuna connessione richiede circa 150 byte di RAM Impostazione predefinita 4096 connessioni contemporanee StrictIfaceMatching Determina se il firewall ricever le risposte sulla stessa interfaccia da cui stata inviata la richiesta originale In genere tale funzione non influenza il sistema purch l elenco di accesso sia configurato in modo tale che solo un dato indirizzo IP venga autorizzato come mittente su un interfaccia specifica Impostazione predefinita ABILITATO DynamicNATBasePort Specifica la prima porta di origine che il firewall deve utilizzare durante il NAT dinamico NAT NAT Hide Le porte utilizzate iniziano con questo valore e continuano con numeri crescenti finch non viene raggiunto il valore impostato dall opzione MaxConnections Impostazione predefinita 32768 LogCo
232. o al server Web necessario contattarlo utilizzando un indirizzo pubblico Nell esempio si scelto di tradurre la porta 80 sull indirizzo esterno del firewall nella porta 80 del server Web 1 SAT ANY all nets ip_ext 32 All gt 80 SetDest wwwsrv 80 2 Allow ANY all nets ip_ext 32 All gt 80 Queste due regole consentono di accedere al server Web tramite l indirizzo IP esterno del firewall Con la regola 1 viene stabilito che la traduzione dell indirizzo pu avvenire se stata autorizzata la connessione mentre la regola 2 consente la connessione Naturalmente necessaria una regola che consenta la traduzione dinamica degli indirizzi delle macchine interne per accedere a Internet In questo esempio viene utilizzata una regola che consente a tutti gli elementi della rete interna di accedere a Internet tramite NAT Hide 156 EnterNet FireWall 3 NAT int intnet all nets All gt All Questo set di regole non funzioner per il traffico dalla rete interna Per mostrare precisamente la successione degli eventi saranno utilizzati i seguenti indirizzi IP ip_ext 195 55 66 77 indirizzo IP pubblico ip_int 10 0 0 1 indirizzo IP privato e interno del firewall wwwsrv 10 0 0 2 indirizzo IP privato del server Web pel 10 0 0 3 computer con un indirizzo IP privato e Il PC1 invia un pacchetto a ip_ext per raggiungere www ourcompany com 10 0 0 3
233. o che la rapida espansione di Internet e lo sviluppo di soluzioni per reti intranet ed extranet hanno esposto le aziende e le organizzazioni a nuove minacce relative alla sicurezza Sono sempre pi numerose le notizie che riguardanti crimini compiuti sui dati elettronici che viaggiano nelle reti di aziende e organizzazioni governative ad esempio furti di informazioni e violazioni alla sicurezza da parte di pirati informatici e Inche modo possibile evitare accessi non autorizzati alle reti di un azienda e Jn che modo possibile controllare il flusso di dati che viaggia tra due reti differenti e Quanto costano i sistemi di protezione delle reti Queste sono le domande sempre pi frequenti che si pongono i responsabili di numerose aziende e organizzazioni 2 2 Cos un firewall Quando si collega un computer a una rete locale o di altro tipo ad esempio Internet necessario prendere i debiti provvedimenti per impedire l accesso di intrusi indesiderati alle risorse e alle informazioni riservate e delicate Per raggiungere questo obiettivo necessario installare un firewall all interno della rete Il firewall infatti garantisce che solo le comunicazioni autorizzate vengano trasferite tra due reti mentre quelle non autorizzate vengono immediatamente bloccate e registrate 2 3 2 4 Introduzione alla protezione di rete Vulnerabilit dei dispositivi di protezione I moderni problemi di sicurezza sono dovuti
234. o diretto alla rete interna indipendentemente dall utente In tal modo le regole seguenti che consentono varie forme di comunicazione dall area DMZ non devono autorizzare la connessione dell interfaccia DMZ alla rete interna 13 Allow dmz ftpsrv 32 all nets TCP ALL gt High La regola 13 consente al server FTP di riaprire le connessioni di dati a tutti i client connessi sulle porte alte cosa che si verifica quando si utilizza la modalit attiva di FTP Notare che ci non consente di ristabilire connessioni verso la rete interna poich tali comunicazioni sono bloccate dalla regola 12 Ci significa che i client nella rete interna devono utilizzare la modalit passiva di FTP per comunicare con il server FTP La modalit passiva di FTP dalla rete interna consentita dalla regola 7 che abilita tutte le connessioni dalla rete interna mediante traduzione dinamica dell indirizzo 14 NAT dmz mailsrv priv 32 all nets TCP ALL gt 25 SetSrc mailsrv pub 0 La regola 14 consente al server di posta di stabilire connessioni SMTP verso reti esterne Su queste comunicazioni viene eseguita la traduzione dinamica dell indirizzo utilizzando un indirizzo pubblico del server di posta come indirizzo del mittente 194 EnterNet FireWall 15 NAT dmz dmznet all nets UDP ALL gt 53 La regola 15 consente a tutte
235. o e al numero di versione utilizzati Questo per evitare che intrusi indesiderati riescano a ottenere informazioni anticipate sul tipo di attacco da adottare Tuttavia pur nascondendo tali informazioni la sicurezza non garantita poich i pirati informatici potranno comunque raggiungere il loro obiettivo anche se gli sforzi necessari per eseguire questa operazione saranno maggiori EnterNet FireWall supporta la protezione attiva per il fingerprinting del sistema operativo e il firewalking IPsec VPN possibile trasformare il firewall in un gateway VPN ad elevate prestazioni completamente compatibile con gli standard Ipsec semplicemente aggiungendo un componente VPN EnterNet opzionale La configurazione integrata in EnterNet FireWall Manager consente l amministrazione simultanea delle connessioni VPN e dei criteri di protezione del firewall 3 3 Componenti del sistema Il sistema EnterNet FireWall composto da tre componenti principali EnterNet FireWall Core Il software del FireWall il componente centrale del sistema ovvero il programma eseguito all interno del firewall stesso EnterNet FireWall Manager FireWall Manager viene utilizzato per amministrare il firewall prima dell avvio e successivamente per il controllo in remoto possibile installare ed eseguire l applicazione in Windows 95 98 NT 4 0 Windows 2000 e Windows Me 26 EnterNet FireWall Tutte le informazioni relative al
236. o e quindi sono ancora poco conosciuti il programma antivirus non sar in grado di riconoscerlo Attualmente le destinazioni pi comuni di questo tipo di attacchi sono e server pubblici ad esempio server di posta elettronica server DNS e server Web I server Web sono i pi rappresentativi di questa categoria a causa della loro enorme complessit Introduzione alla protezione di rete e script personalizzati nei server Web davvero facile ormai estendere le funzionalit di un server Web compilando piccoli programmi personalizzati in grado di gestire numerose attivit Tuttavia una scarsa conoscenza dei potenziali problemi molto spesso causa di piccoli errori difficili da rilevare tramite i quali un intruso indesiderato potrebbe riuscire a entrare nel sistema e browser Web I processi di automazione e le operazioni di semplificazione a vantaggio degli utenti aumentano la complessit all interno del sistema e di conseguenza i rischi di vulnerabilit e programmi per i computer desktop principalmente quelli che contengono numerosi script sono soggetti agli stessi pericoli dei browser Infatti i linguaggi di scripting offrono accesso quasi illimitato ai computer locali e a tutte le risorse di rete a essi collegate Pertanto gli utenti interni che aprono documenti contenenti script pericolosi sottopongono il sistema a qualsiasi tipo di problema Introduzione alla protezione di rete 2 5 4 Attacchi interni
237. o le informazioni NDS Indirizzo IP utilizzato da FireWall Manager per contattare il firewall Versione del software di EnterNet FireWall ovvero il programma eseguito nel computer firewall sul quale installato il software di firewall corrente Periodo di funzionamento del software del firewall visualizzato in giorni ore minuti e secondi Per azzerare questo orologio digitare il commando shutdown nella console del firewall Consultare la sezione 8 2 Console del firewallconsore del firewall Numero di versione della configurazione correntemente utilizzata nel firewall Tale numero aumenta ogni volta che la configurazione viene modificata e attivata Numero di versione della configurazione archiviata nel database di amministrazione Data pi recente nella quale la configurazione archiviata nel database di amministrazione stata modificata e salvata Nome dell origine dati che contiene la voce del firewall in oggetto Non corrisponde necessariamente ai nomi dell origine dati ODBC ma piuttosto al nome immesso tramite l opzione Specify Management Datasources del menu Tools EnterNet FireWall Manager Se il valore DB cfg maggiore di quello Core cfg le modifiche apportate alla configurazione contenuta nel database di amministrazione non sono ancora state trasmesse al firewall Se il valore Core cfg maggiore di quello DB cfg le modifiche apportate al firewall non state notificate all applicazione FireWal
238. o non il caso se il server di posta si trova in un area DMZ separata e Prima di consentire le connessioni a tutte le porte alte di un server FTP necessario determinare se esistono servizi di rete che possono riceverle Nel caso in cui sono presenti l accesso a queste porte deve essere bloccato prima di consentire il traffico a tutte le altre porte alte 196 EnterNet FireWall 8 5 4 Esempio 4 DMZ MailFwd DNS Il modello di configurazione DMZ impiega su un firewall con tre interfacce Un interfaccia connessa al router esterno La seconda connessa alla rete protetta cui sono collegati le workstation ed i server interni La terza interfaccia connessa all area demilitarizzata DMZ DeMilitarized Zone gw world 194 1 2 1 extnet 194 1 2 0 24 ip_ext 194 1 2 2 an Si ip_dmz 192 168 234 1 Ld ip_int 192 168 123 1 intnet 192 168 123 0 24 dmznet 192 168 234 0 24 intmail wwws v priv mailfwd priv dnssrv priv 192 168 123 x 192 168 234 x 192 168 234 x 192 168 234 x EnterNet FireWall 197 La zona DMZ contiene e Un server Web wwwsrv priv con la porta 80 accessibile tramite un indirizzo pubblico wwwsrv pub Nelle opzioni predefinite l indirizzo viene impostato come equivalente all indirizzo IP esterno del firewall e Un server
239. o particolare nel pipe dal momento che agisce da precedenza di massimo carico Il traffico che supera il limite della precedenza pi elevata viene automaticamente trasferito nella precedenza di massimo carico a patto che tale precedenza possa accogliere ancora traffico gt Prec 2 Best Effort j Minimum Prec 1 i l I I l Prec 7 I e RR SE Li y I l Prec 6 1 uit Maximum I gt Prec 5 I I TI n pressa 0 I of incoming an A_ noi IP packet I I I I I I I I i i I I Pipe definito con precedenza minima 2 e precedenza massima 5 Configurazione del traffico Come mostra questo esempio oltre al limite in base alla precedenza possibile definire un limite per l intero pipe Quando la larghezza di banda totale nel pipe raggiunge il limite totale il traffico viene ordinato in base alla priorit a seconda della precedenza a cui appartiene Il traffico con precedenza pi elevata ha maggiori possibilit di attraversare il pipe senza la necessit di essere accodato Tuttavia se si utilizzano solo due precedenze scegliere 6 e 7 piuttosto che 0 e 1 oppure 0 e 7 non comporta alcuna differenza Una precedenza ha significato solo in relazione al traffico a cui consentito il passaggio nelle altre precedenze e non a fattori esterni quali ad esempio il traffico nella LAN esterna al firewall o all altra estremit della con
240. ollare EnterNet FireWall Manager F File 7 3 1 Menu File Revert n Open Specific Version Quando la finestra di configurazione cae ches attiva il menu File cambia per TET 3 3 I Upload Configuration visualizzare i comandi specifici EE e Open from Boot Media relativi alla configurazione Save to Boot Media Close Ctrl F4 Revert Consente di sostituire la configurazione corrente con quella salvata pi di recente Tutte le modifiche verranno eliminate Open Specific Version EnterNet FireWall Manager memorizza ogni versione della configurazione pertanto questa opzione consente di aprire una specifica versione della configurazione Save Consente di salvare la configurazione corrente nel database di amministrazione Upload Configuration Simile al menu Firewall Advanced Open from Boot Media Consente di aprire il file di configurazione memorizzato in un supporto di avvio per eseguire alcune modifiche Save to Boot Media Simile al menu Firewall Advanced EnterNet FireWall Manager 7 3 2 Scheda Settings E Configuration of gw myorganisation 192 168 123 1 Settings Hosts Nets Pipes Interfaces ARP Routes Access Rules Loghosts Remotes IP Internet Protocol Settings M LogChecksumErrors Log IP packets with bad checksums M LogNonIP4 Log occurences of non IPv4 packets 3 TTLMin The minimum IP Time To Live value accepted on rec
241. omandi che sono stati immessi fisicamente nella console Inoltre i dati di input visualizzati nella schermata del firewall equivalgono a quelli mostrati in questa finestra Questo comando corrisponde al doppio clic con il mouse sul firewall nell elenco del firewall Consultare la sezione 8 2 Console del firewallconsore del firewall Statistics Consente di visualizzare le statistiche in tempo reale del firewall selezionato Tale finestra contiene diversi aspetti dell ambiente operativo del firewall sotto forma di diagrammi Consultare la sezione 7 4 Visualizzazione delle statistiche Show Realtime Log Consente di visualizzare una finestra con i dati di log ricevuti in tempo reale dal firewall selezionato Tuttavia verranno visualizzati solo gli eventi correnti e non quelli che si sono verificati prima dell apertura della finestra Al limite possibile tornare indietro di un centinaio di righe Consultare il capitolo 9 Auditing da EnterNet Firewall EnterNet FireWall Manager Properties La finestra di dialogo delle Settings r t t di IP Address Modify version temp proprieta Consente di soo z modificare alcuni dei Name Storage parametri gw myorganisation Database X precedentemente inseriti tramite l opzione New p Status FireWall Active Inactive Template m Comments l stesso Ad esempio se viene modificato l indirizzo IP in questa finestra cambier solo l i
242. on X25 SNA Gateway Eicon Service Location Protocol Eicon Service Location Protocol Microsoft SNA server Microsoft SNA server Microsoft SNA base Microsoft SNA base Watcom SQL Watcom SQL Oracle Oracle Oracle Oracle Oracle Oracle cisco license management cisco license management cisco RSRB Priority 1 port cisco RSRB Priority 1 port cisco RSRB Priority 2 port cisco RSRB Priority 2 port cisco RSRB Priority 3 port cisco RSRB Priority 3 port cisco STUN Priority 1 port cisco STUN Priority 1 port cisco STUN Priority 2 port 284 Internet e TCP IP stun p2 stun p3 stun p3 snmp tcp port snmp tcp port stun port stun port perf port perf port tr rsrb port tr rsrb port gdp port gdp port x25 svc port x25 svc port tcp id port tcp id port ccmail ccmail dec notes dec notes aol aol x11 x11 1991 udp 1992 tcp 1992 udp 1993 tcp 1993 udp 1994 tcp 1994 udp 1995 tcp 1995 udp 1996 tcp 1996 udp 1997 tcp 1997 udp 1998 tcp 1998 udp 1999 tcp 1999 udp 3264 tcp 3264 udp 3333 tcp 3333 udp 5190 tcp 5190 udp 6000 6063 tcp 6000 6063 udp cisco STUN Priority 2 port cisco STUN Priority 3 port cisco STUN Priority 3 port cisco SNMP TCP port cisco SNMP TCP port cisco serial tunnel port cisco serial tunnel port cisco perf port cisco perf port cisco Remote SRB port cisco Remote SRB port cisco Gateway Discovery Protocol cisco Gateway Discovery Protocol cisco X 25 service XOT cisco X 25 service XOT
243. one del firewall selezionato nella directory desiderata I file esportati tramite questa opzione hanno lo stesso formato di quelli archiviati in un database di amministrazione basato su file Pertanto se si desidera importare in questo tipo di database i file esportati baster semplicemente copiarli nella directory appropriata EnterNet FireWall Manager 7 2 4 Create NIC Setup Disk Tools Inoltre questa opzione consente di inviare la configurazione al provider se necessario In tal caso pud essere opportuno inviare solo il file efc che contiene soltanto la configurazione Il file efw include tra le altre informazioni anche le chiavi di crittografia del firewall che normalmente non servono al provider Qualora fosse necessario inviare questo file si consiglia di modificare le chiavi del firewall al termine dell operazione per evitare che finiscano in mani sbagliate Menu Tools Create NIC Setup Disk Consente di creare un supporto di avvio Caldera DR DOS con il programma di configurazione per le schede di rete 3Com 3C509 EtherLink III 3Com 3C90x Fast EtherLink XL 10 100 e Intel EtherExpress PRO 100 Qualsiasi utente pu modificare i dati salvati su questo disco tramite la directory INSTALLDIR Images NICCfg Select Boot Media Device Specify Management Datasources Edit Proposal lists Select Boot Media Device Consente di visualizzare una finestra di dialogo tramite la quale
244. onfigurazione o dell ultimo avvio di EnterNet FireWall Il testo uguale a quello visualizzato a video durante la riconfigurazione o l avvio Connections conn Mostra le ultime 20 connessioni aperte per il firewall Le connessioni vengono create quando il traffico autorizzato mediante le regole Allow o NAT Il traffico autorizzato a passare in base alle regole FwdFast non incluso in questo elenco EnterNet FireWall 163 gt conn State Prot Source Destination Time TCP_OPEN TCP ext 60 20 37 6 5432 dmz wwwsrv 80 3600 SYN_RECV TCP ext 60 20 37 6 5433 dmz wwwsrv 80 30 UDP_OPEN UDP int 10 5 3 2 5433 dmz dnssrv 53 50 Ciascuna connessione dispone di due valori di timeout uno su ogni direzione Questi valori vengono aggiornati quando il firewall riceve i pacchetti da ciascuna delle due estremit della connessione Il valore mostrato nella colonna Timeout quello inferiore I valori possibili nella colonna State includono SYN_RECV Pacchetto TCP con flag SYN ricevuto SYNACK_S Pacchetto TCP con flag SYN ACK inviato ACK_RECV Pacchetto TCP con flag ACK ricevuto TCP_OPEN Pacchetto TCP con flag ACK inviato FIN_RECV Pacchetto TCP con flag FIN RST ricevuto PING Collegamento ICMP ECHO UDP Collegamento UDP RAWLP Collegamento che utilizza un protocollo IP diverso da TCP da UDP 0 ICMP Cpuid cpu Mostra le informazioni sulla CPU nell hardware del firewall Frags frag Mostra gli ultimi 20 tentativi di riassemb
245. ono essere usati come modelli Per specificare lo stato iniziale del nuovo firewall scegliere il pulsante di opzione Status appropriato Se si seleziona la funzione Active l applicazione effettuer periodicamente un interrogazione ciclica del firewall per rilevare le informazioni sullo stato Se si seleziona la funzione Template invece il firewall in oggetto verr creato solo per essere utilizzato come modello di configurazione Nel campo Comment possibile immettere informazioni opzionali sul firewall in oggetto Tali informazioni non influenzano assolutamente le configurazioni Infine viene creata una chiave di crittografia a 128 bit non visibile da parte degli utenti Tale chiave verr utilizzata durante l amministrazione remota del firewall Delete FireWall Consente di eliminare il firewall selezionato dal database di amministrazione Anche se questa operazione non ha alcun effetto sul firewall in caso di cancellazione non intenzionale sar necessario recuperare manualmente il file di configurazione e la chiave di crittografia dal disco di avvio del firewall Per ulteriori informazioni consultare il capitolo 12 Domande frequenti FAQ EnterNet FireWall Manager Advanced Consente di aprire un sottomenu per le operazioni avanzate o utilizzate meno di frequente Consultare il paragrafo 7 2 3 1 Console Consente di aprire una connessione ai comandi del firewall selezionato possibile utilizzare anche i c
246. onsentito il passaggio nelle connessioni VPN indipendentemente dal protocollo originale aggiungendo circa 50 byte Impostazione predefinita 2000 byte MaxAHLen Specifica la dimensione massima di un pacchetto AH Il pacchetto AH Authentication Header viene utilizzato da IPsec quando richiesta solo la funzione di autenticazione Il valore dovrebbe essere impostato in base alle dimensioni del pacchetto pi grande cui consentito il passaggio nelle connessioni VPN indipendentemente dal protocollo originale aggiungendo circa 50 byte Impostazione predefinita 2000 byte MaxSKIPLen Specifica la dimensione massima di un pacchetto SKIP Impostazione predefinita 2000 byte MaxOSPFLen Specifica la dimensione massima di un pacchetto OSPF L OSPF un protocollo di instradamento utilizzato principalmente in reti LAN di grandi dimensioni Impostazione predefinita 1480 EnterNet FireWall Manager MaxIPIPLen Specifica la dimensione massima di un pacchetto IP in IP Questo pacchetto viene utilizzato dalle connessioni VPN di tipo Checkpoint Firewall 1 quando non adottato il protocollo IPsec Il valore dovrebbe essere impostato in base alle dimensioni del pacchetto pi grande cui consentito il passaggio nelle connessioni VPN indipendentemente dal protocollo originale aggiungendo circa 50 byte Impostazione predefinita 2000 byte MaxIPCompLen Specifica la dimensione massima di un pacchetto IPComp Impostazione predefini
247. origine a seconda del tipo di pacchetto e Per pacchetti TCP o UDP interfaccia indirizzo IP e porta e Per altri pacchetti IP interfaccia e indirizzo IP e Per pacchetti ARP interfaccia e indirizzo MAC e La destinazione del pacchetto che ha generato l evento Le informazioni visualizzate dipendono dal tipo di pacchetto come descritto in precedenza e Il protocollo del pacchetto che ha generato evento e Un breve riepilogo dell evento Selezionando un determinato evento ne verr evidenziata la riga e nelle due sezioni inferiori della visualizzazione verranno mostrate informazioni dettagliate relative all evento _ Auditing da EnterNet Firewall Disallowed Dropping Rules Rule name Drop_ICMP E Ethernet Packet Sender 0050 dae9 24f4 Destination 0010 4bb2 9ef7 Protocol IPv4 IP Packet Version 4 Header Length 20 E Type of service Total Length 60 Lioun Nella sezione centrale della visualizzazione dei risultati vengono visualizzate informazioni dettagliate relative ad un evento Le informazioni vengono visualizzate con un struttura ad albero Ulteriori dettagli possono essere visualizzati espandendo i rami dell albero contrassegnati dal simbolo Se si seleziona un evento che contiene un dump di pacchetto come un evento DROP nella sezione superiore della visualizzazione dei risultati la sezione inferiore visualizza un dump di byte dei primi 150 byte del pacchetto scartato Il dump vie
248. osta in un area DMZ una zona demilitarizzata Per alcuni esempi consultare la sezione Esempio 3 DMZ oppure Esempio 4 DMZ MailFwd DNS pi avanti e Jl fatto che il firewall esegua la traduzione dinamica dell indirizzo dall interno dei server Web e di posta potrebbe sembrare leggermente strano poich significa che i log dei server non sono in grado di distinguere tra i vari client interni Tuttavia esiste una buona ragione per tale comportamento Consultare il paragrafo 8 1 7 2 Server accessibile pubblicamente con un indirizzo privato su una rete internaserver accessibile pubblicamente con un indirizzo privato su una rete interna nella sezione relativa alla traduzione dell indirizzo EnterNet FireWall 181 e Se non si desidera la traduzione dell indirizzo relativa al traffico interno verso i server accessibili pubblicamente possibile aggiungere un server DNS interno che viene utilizzato solo dai client interni In questo server DNS i record degli indirizzi sono impostati per puntare agli indirizzi interni dei server Naturalmente l accesso a questo server DNS non pu essere consentito dall esterno 182 EnterNet FireWall 8 5 2 Esempio 2 Default ProxyARP Il modello di configurazione Default ProxyARP si basa sul modello Default Questo modello presenta le stesse funzionalita di base ma consente inoltre agli host interni di conservare gli stessi indirizzi e allo stesso tempo di non dover creare una nuo
249. pacchetto ricevuto L interfaccia di destinazione viene calcolata con una ricerca nel percorso prima dell analisi del set di regole Perch venga eseguita la regola i pacchetti da esaminare devono corrispondere a questo e a tutti gli altri filtri Nota poich l interfaccia di destinazione viene calcolata mediante una ricerca sul percorso prima che inizi il confronto con regole questa non verr influenzata dalle regole SAT o altre traduzioni di indirizzi Dest Net Specifica l estensione il range di indirizzi IP che deve essere confrontato con l IP di destinazione del pacchetto ricevuto Perch venga eseguita la regola i pacchetti da esaminare devono corrispondere a questo e a tutti gli altri filtri Proto Specifica il protocollo IP che deve essere confrontato con il pacchetto ricevuto Esistono diversi nomi di protocollo predefiniti vedere l elenco di protocolli riportato di seguito alcuni dei quali dispongono di ulteriori parametri di filtro nella colonna Ports Params I tipi di protocollo IP non elencati possono essere filtrati mediante il numero di protocollo numerico Perch venga eseguita la regola i pacchetti da esaminare devono corrispondere a questo e a tutti gli altri filtri Ports Params Specifica i parametri aggiuntivi da confrontare con il pacchetto ricevuto I parametri effettivi disponibili dipendono dal protocollo IP selezionato vedere pi avanti Perch venga eseguita la regola i pacchetti d
250. per bilanciare in maniera uniforme tra gli utenti del pipe la larghezza di banda disponibile Configurazione del traffico Riprendendo l esempio precedente quando un altro utente comincia a generare traffico SSH il limite per utente viene abbassato a circa 13 kbps 64 kbps divisi tra 5 utenti Le restrizioni temporanee come questa vengono gradualmente rimosse sino a raggiungere il limite configurato oppure sino a superare i limiti del pipe A quel punto i limiti per gli utenti vengono abbassati di nuovo Questi adeguamenti dinamici avvengono circa 20 volte al secondo e si adattano rapidamente alle modifiche apportate alla distribuzione di larghezza di banda Il bilanciamento dinamico di larghezza di banda avviene individualmente in ciascuna precedenza di un pipe In questo modo se agli utenti viene assegnata una quantit ridotta di traffico ad elevata priorit e una quantit maggiore di traffico di massimo carico tutti gli utenti riceveranno la loro parte di traffico ad elevata precedenza e la parte di traffico di massimo carico 10 3 Esempi pratici di utilizzo dei pipe Nel presente capitolo stato illustrato il funzionamento dal punto di vista tecnico del sottosistema di gestione del traffico di EnterNet FireWall Ma pipe gruppi di utenti e precedenze sono semplici elementi di base che possono essere utilizzati come si ritiene meglio I contesti di gestione del traffico che si possono creare applicando diversi limiti e prec
251. pipe di 512 kbps attraverso il quale avviene il passaggio di 400 kbps di traffico a bassa priorit e 100 kbps di traffico ad elevata priorit non c motivo di regolare nulla dal momento che rimangono liberi ancora 12 kbps di larghezza di banda Per conoscere il limite da applicare alle precedenze pi basse quindi necessario conoscere il limite totale del pipe I limiti totali non possono superare la larghezza di banda disponibile per la connessione Se si imposta come limite di pipe un valore superiore alla larghezza di banda realmente disponibile il pipe non si render mai conto che la connessione non ha pi spazio disponibile Se si dispone di una connessione a 512 kbps ma i limiti totali di pipe sono impostati a 600 kbps il pipe non rilever che la connessione piena e quindi non regoler le precedenze pi basse Configurazione del traffico Gestione del traffico all ingresso di un punto di congestione Se si protegge l ingresso di un collo di bottiglia della rete ad esempio i dati in uscita dal firewall possibile impostare il limite totale in modo che corrisponda approssimativamente alla larghezza di banda della connessione Gestione del traffico all uscita di un punto di congestione Se si protegge l uscita di un collo di bottiglia della rete ad esempio i dati in entrata dal firewall probabilmente necessario impostare il limite in modo che risulti inferiore alla larghezza di banda della conness
252. possono essere utili in situazioni in cui viene segnalato un indirizzo hardware per un dispositivo non valido in risposta a richieste ARP Nei bridge delle workstation quali modem via radio si verificano tali problemi Inoltre pu essere utilizzato per bloccare un indirizzo IP verso un indirizzo hardware specifico in modo da aumentare la sicurezza o evitare effetti di negazione del servizio se vi sono utenti malintenzionati nella rete Tuttavia tale protezione si applica solo ai pacchetti che vengono inviati a quell indirizzo IP mentre non valida per i pacchetti inviati da quell indirizzo IP 7 3 7 2 Elementi ARP pubblicati La pubblicazione di un indirizzo IP mediante ARP pu essere utile per due ragioni e Aiutare le apparecchiature di rete vicine che rispondono a richieste ARP in modo non corretto Questo utilizzo poco comune e Fornire l impressione che ciascuna interfaccia del firewall abbia pi di un indirizzo IP Per questo il firewall fornisce le risposte alle richieste ARP relative agli indirizzi IP in elementi ARP pubblicati L ultimo utilizzo risulta utile se esistono varie estensioni IP separate su una singola rete LAN I computer presenti su ciascuna estensione IP possono quindi utilizzare un gateway nella propria estensione pubblicandolo sull interfaccia del firewall Un altro campo di utilizzo la pubblicazione di indirizzi multipli su un interfaccia esterna consentendo al firewall di inviare sta
253. principalmente a bug o errori di altro tipo presenti nel programma utilizzato Le applicazioni sono sviluppate da programmatori che in quanto esseri umani possono commettere degli errori La situazione diventa ancora pi critica quando questi programmatori vengono messi sotto pressione dalle loro stesse aziende affinch introducano nuove funzioni all interno dei programmi software senza considerare il tempo necessario per valutare gli aspetti relativi alla sicurezza Un altra causa molto comune di scarsa sicurezza data dalla mancanza di esperienza o di tempo dedicato alla protezione dei sistemi privati Purtroppo i consumatori si fidano ciecamente dei produttori di programmi i quali affermano che i loro sistemi vengono commercializzati nella massima sicurezza In realt quasi tutti i fornitori di software sono principalmente interessati a offrire sistemi molto semplici da utilizzare e questo molto spesso a discapito della sicurezza Infatti un applicazione facile da usare pu essere attaccata con altrettanta semplicit Come funziona un firewall Lo scopo principale dell uso di un firewall di implementare un insieme di criteri di protezione che definiscono le modalit di una comunicazione e le relative autorizzazioni Per eseguire queste operazioni il firewall analizza il traffico in rete e confronta le informazioni rilevate con un insieme di regole programmato al suo interno quindi prende una decisione in base
254. protocollo IP da utilizzare Per un elenco dei protocolli IP definiti consultare la sezione 11 1 Numeri di protocollo IP e ALL Tutti i protocolli IP possibili da 0 a 255 EnterNet FireWall Manager 7 3 10 3 Finestra Port Params TCP UDP e Ports Se si sceglie l opzione TCP UDP o Ports viene visualizzata questa finestra Source Ports di dialogo quando si fa clic sulla colonna First Last Ports Params a CR 65535 r Destination Ports Questa finestra di dialogo permette di me i impostare un intervallo di valori per le fa fir porte di origine e di destinazione Notare che gli intervalli sono complessivi nel senso che l intervallo 137 139 copre le porte 137 138 e 139 Affinch vi sia corrispondenza tra le porte esistenti utilizzare i valori compresi tra 0 e 65535 Per garantire la compatibilit tra porte assegnate dinamicamente utilizzare i valori compresi tra 1024 e 65535 Le porte dinamiche sono porte di origine normalmente utilizzate da un host client quando si apre una connessione verso un server TT Only established connections i Cancel Impostazione delle porte nelle regole FwdFast La finestra di dialogo contiene anche una casella di controllo chiamata Only established connesctions per il protocollo TCP e le porte nelle regole FwdFast Questa casella di controllo ha la stessa funzione del flag ESTABLISHED presente in molti router con gli elenchi ACL Access Control List Se la casella selezionat
255. r VPN denominato IPsec Dal momento che la maggior parte dei fornitori utilizza IPsec le apparecchiature dei vari produttori sono o dovrebbero essere compatibili WAN Vedere Wide Area Network Wide Area Una rete WAN costituita da due o pi LAN Network collegate mediante una serie di bridge router o firewall La velocit dei collegamenti WAN generalmente inferiore a quella di una LAN Vedere anche LAN e MAN
256. razioni di sistema pi estese Hardware e prestazioni del firewall Le prestazioni dei chip di memoria pi moderni sono di gran lunga superiori alla velocit di trasferimento dei bus PCI pertanto possibile utilizzare qualsiasi tipo di memoria Tuttavia negli ambienti ad elevate prestazioni numerose centinaia di Mbps consigliabile installare i chip di memoria pi veloci 4 3 3 Scheda madre bus di sistema La scelta dei bus di sistema e della CPU importante per raggiungere prestazioni elevate del firewall EnterNet FireWall supporta i tipi di bus PCI ISA e EISA consultare la sezione 4 3 5 Schede di rete Per ottenere le massime prestazioni consigliabile utilizzare i bus PCI Per questo motivo nella seguente sezione verranno illustrate solamente le modalit di installazione di un sistema PCI appropriato Il bus PCI rappresenta un supporto condiviso ovvero consente a EnterNet Firewall solamente di inviare e ricevere dati sulla stessa interfaccia di rete alla volta Di conseguenza la velocit complessiva del bus PCI verr condivisa da tutte le interfacce di rete a esso collegate Inoltre la velocit massima di un bus PCI dipende da numerosi fattori ad esempio le dimensioni dei relativi bit la frequenza utilizzata e la qualit delle componenti circostanti quali i chipset PCI gli adattatori PCI e cos via Un bus PCI a 32 bit con frequenza di 33 MHz pu raggiungere teoricamente una velocit massima
257. re in altri dispositivi per la sicurezza e il lavoro Infatti finch i sistemi standard saranno distribuiti in condizioni non protette e con una struttura interna sempre pi complessa non sar possibile ridurre i costi relativi alla sicurezza Anzi continueranno ad aumentare I pericoli sopra citati rappresentano solo la punta dell iceberg Del resto le misure che necessario adottare per poter ritenere un sistema sicuro sono cos numerose che non possibile trattarle tutte insieme Se all interno dell azienda non sono disponibili tecnici esperti in sicurezza consigliabile rivolgersi a consulenti esterni per elaborare una buona struttura di rete rafforzare i server e le workstation configurare il firewall e quindi collaudare tale configurazione dall esterno 3 EnterNet FireWall 3 1 Panoramica su EnterNet FireWall EnterNet FireWall rappresenta la soluzione pi economica per la protezione delle reti idonea a tutti i tipi di aziende Grazie alle elevate prestazioni allo straordinario livello di sicurezza al basso costo ed alla efficiente tecnologia di protezione utilizzata EnterNet FireWall costituisce la scelta ideale per la sicurezza delle reti interne ed esterne 3 2 Funzioni di EnterNet FireWall Nessun sistema operativo EnterNet FireWall non utilizza alcun sistema operativo Questo significa che il rischio di attacchi al firewall praticamente non esiste visto che non c nulla da attaccare
258. reare unit di gestione della larghezza di banda con capacit decisamente superiori a quelle di un solo pipe Piena integrazione con l insieme di regole del firewall Ciascuna regola del firewall pu essere assegnata singolarmente a uno o pi pipe Ordinamento del traffico in base alla priorit e limitazione della larghezza di banda Ogni pipe presenta vari livelli di priorit ciascuno dei quali con un proprio limite di larghezza di banda specificato in kilobit per secondo e o pacchetti per secondo E possibile inoltre specificare il limite complessivo del pipe Raggruppamento possibile raggruppare automaticamente il traffico che attraversa un pipe in utenti di pipe e ciascun utente di pipe o pipe di utente pu essere configurato con gli stessi parametri del pipe principale Configurazione del traffico E possibile raggruppare il traffico in base a vari parametri ad esempio rete IP indirizzo IP o porta di origine o destinazione Bilanciamento dinamico della larghezza di banda possibile utilizzare il modulo di traffic shaping per il bilanciamento dinamico dell allocazione della larghezza di banda di diversi utenti di pipe se l intero pipe ha superato i propri limiti Ci significa che la larghezza di banda disponibile viene bilanciata in maniera uniforme in base al raggruppamento scelto per il pipe Concatenazione dei pipe possibile concatenare sino ad otto pipe assegnati a regole in modo da gestire
259. redefinita imposta un limite di 4096 connessioni contemporanee Ogni connessione consuma 128 byte di RAM Per vedere la quantit effettiva di RAM utilizzata dalla tabella di stato vedere il comando di console memory pi avanti e Frags Percentuale di utilizzo delle risorse di riassemblaggio disponibili EnterNet FireWall limita il numero di tentativi di riassemblaggio dei frammenti che possono essere eseguiti contemporaneamente La versione 6 0 imposta questo limite a 1024 tentativi simultanei EnterNet FireWall 161 e Drops Numero di pacchetti scartati in seguito a test strutturali non riusciti o all eliminazione da parte del set di regole nel secondo precedente e LogMsgs Numero di messaggi di log generati durante il secondo precedente EnterNet FireWall in grado di limitare il numero di messaggi di log che possono essere generati ogni secondo mediante l impostazione LogSendPerSecLimit nella sezione Settings 8 2 2 Comandi della console Di seguito viene riportato un elenco di tutti i comandi accessibili attraverso la console del firewall Tali comandi possono essere abbreviati immettendo il testo incluso all interno delle virgolette dopo ciascun comando Sulla console disponibile una Guida in linea che pu essere richiamata mediante il comando help About ab Apre una finestra contenente le informazioni che si riferiscono alla versione del software del firewall in uso e alle note sul copyright Acces
260. regola 5 presuppone che i pacchetti inviati dall indirizzo del server FTP arrivino all interfaccia DMZ Questa regola particolare richiesta poich l indirizzo del server FTP sarebbe altrimenti atteso sull interfaccia esterna 6 Expect dmz dmznet La regola 6 presuppone che gli indirizzi dei mittenti appartenenti a dmznet arrivino all interfaccia DMZ Se l indirizzo del mittente del pacchetto appartiene a dmznet ma raggiunge un interfaccia differente viene scartato e registrato 7 Expect ext all nets La regola 7 presuppone che tutti gli indirizzi non appartenenti alle categorie descritte in precedenza arrivino all interfaccia esterna Se i pacchetti con tali indirizzi di mittente raggiungono un interfaccia differente vengono scartati e registrati Notare che la regola applicata al parametro all nets che come detto in precedenza equivale a tutti gli indirizzi IP Tuttavia visto che la ricerca all interno del set di regole viene eseguita dall alto verso il basso gli indirizzi 0 0 0 0 8 127 0 0 0 8 224 0 0 0 3 dmznet intnet nonch ftpsrv 32 saranno gi stati presi in considerazione prima che nell ordine venga raggiunta la regola 7 190 EnterNet FireWall Descrizione della sezione Rules L insieme di regole di questo modello di configurazione pu essere riassunto nel modo seguente e Consente tutte le connessioni originate dall interno tranne NetBIOS tra
261. regola che in precedenza stabiliva NAT everything from the inside out debba essere estesa a numerose regole che utilizzano diversi limiti o priorit per diversi protocolli e o porte e Verificare chela configurazione scelta funzioni nella maniera desiderata Due opzioni consentono di capire cosa realmente accade nel proprio ambiente attivo Il comando pipes per ulteriori informazioni consultare la Guida in linea nella sezione Pipes e il grafico Pipes nella visualizzazione delle statistiche Configurazione del traffico 10 2 1 Nozioni di base sui pipe Il Pipe uno dei concetti fondamentali della funzionalit di traffic shaping dell EnterNet FireWall ed alla base del controllo della larghezza di banda I pipe vengono configurati nella sezione Pipes del firewall Consultare la sezione 7 3 5 Scheda Pipes I pipe sono piuttosto semplici dal momento che non contengono informazioni sul tipo di traffico che li attraversa n sulla sua direzione Un pipe si limita a misurare il traffico che lo attraversa e ad applicare i limiti configurati in ciascuna precedenza e o gruppo di utenti Il traffico di rete in entrata viene prima filtrato dall insieme di regole del firewall e quindi viene inviato al pipe indicato nella regola corrispondente Nel pipe il traffico viene limitato in base alla configurazione dello stesso e viene quindi inoltrato alla sua destinazione o al pipe successivo in una concatenazione
262. rewall per estrarre il floppy Questa metodo consente di risolvere eventuali errori di aggiornamento con estrema facilit 1 Installare la nuova versione di FireWall Manager La procedura viene descritta nel capitolo 7 1 Installazione di FireWall Manager La nuova versione del programma di gestione utilizza un formato di file differente rispetto alla precedente possibile eseguire l installazione nella stessa directory senza sovrascrivere la versione 5 x 10 11 Aggiornamento dalla versione 5 x Avviare la nuova versione di FireWall Manager Il programma richieder se si desidera collegare il vecchio database di amministrazione FWList Rispondere No a meno che non si preferisca continuare a utilizzare l origine dati ODBC Ripetere i passi 4 a 11 per ogni firewall che si desidera aggiornare Estrarre il floppy dal firewall Nella versione 6 del programma di gestione creare un nuovo firewall con le stesse propriet del firewall che si sta aggiornando e lasciare vuota la configurazione Se dopo l aggiornamento si desidera controllare il firewall da FireWall Manager 5 x non consigliato selezionare l opzione Load Key from Boot Media dal menu FireWall Advanced Aprire la configurazione quindi selezionare Open from Boot Media dal menu File per visualizzare le impostazioni correnti nel disco floppy Verificare che la regola del firewall consenta di stabilire una connessione con la porta TCP 999 corrispondent
263. ro e non di un tentativo consapevole di ingannare i potenziali acquirenti Infatti un firewall viene progettato per riconoscere determinati elementi che possono violare la sicurezza di un sistema Tuttavia non possibile prevedere tutti i bug che potrebbero essere inclusi nei programmi software Inoltre in numerose circostanze un firewall non pu garantire da solo la protezione di una rete perch semplicemente non riceve tutte le comunicazioni Qui di seguito verranno elencati alcuni problemi di sicurezza che spesso i firewall non riescono a gestire Alcuni esempi includono anche le relative soluzioni L argomento verr trattato in generale poich le problematiche in questo campo sono numerose Introduzione alla protezione di rete Per raggiungere un elevato livello di protezione innanzitutto necessario conoscere tutti i possibili difetti dei protocolli di rete e dei programmi utilizzati e successivamente sara possibile adottare le soluzioni pi appropriate 2 5 1 Attacchi ai componenti preinstallati non protetti Spesso i sistemi operativi contengono componenti preinstallati non protetti i quali includono servizi non documentati presenti sui computer collegati a Internet Questo consente l accesso di dati provenienti da reti esterne Un esempio di questo tipo di vulnerabilit dato dalla semplificazione dei componenti che consentono l accesso diretto ODBC nei server Web tramite il protocollo HTTP La m
264. rodotto e ne garantisce l autenticit Se per qualsiasi ragione tale numero dovesse andare perduto contattare il proprio fornitore per riceverne uno nuovo EnterNet FireWall 33 3 5 2 Gestione delle licenze Enternet tramite pagine Web EnterNet utilizza un sistema di gestione delle licenze tramite pagine Web che include aggiornamenti e supporti tecnici per i vari prodotti Per usufruire di questo servizio si consiglia di registrare i dati dell azienda fin dal primo utilizzo del servizio di gestione delle licenze EnterNet tramite pagine Web Le informazioni inserite sono protette e verranno utilizzate solo all interno di EnterNet Per motivi di privacy esse non verranno pubblicate sulle pagine Web di EnterNet nemmeno durante la connessione Tutti i nomi e gli indirizzi specificati verranno inviati a un server interno tramite una connessione unidirezionale pertanto non saranno mai archiviati nel server stesso Il servizio di gestione delle licenze Enternet mediante pagine Web disponibile all indirizzo www enternet net 4 Hardware e prestazioni del firewall 4 1 Panoramica Per scegliere la soluzione firewall pi idonea alle proprie esigenze innanzitutto necessario conoscere come i vari dispositivi hardware e le configurazioni disponibili ne influenzano le prestazioni e l affidabilit Questo capitolo contiene una descrizione delle diverse soluzioni in commercio dei requisiti minimi necessari per garantire
265. rts Params Kt P ext all nets TCP ALL gt 23 So EE Mantenere la concatenazione di inoltro di entrambe le regole solo come std out Per semplificare questo esempio l attenzione viene focalizzata solo sul traffico in entrata ovvero la direzione che tende a riempirsi prima nelle configurazioni client oriented Impostare la concatenazione di ritorno della regola della porta 22 su ssh in seguito da std in Impostare la concatenazione di ritorno della regola della porta 23 su telnet in seguito da std in Impostare l assegnazione della priorit per entrambe le regole su Use defaults from first pipe dove la precedenza predefinita sia per il pipe ssh in sia telenet in 1 Utilizzando questo approccio invece della precedenza 1 hard coding nell insieme di regole possibile modificare la precedenza di tutto il traffico ssh e telnet semplicemente modificando la precedenza dei pipe ssh in e telnet in Notare che non stato impostato un limite totale per i pipe ssh in e telnet in Infatti non necessario dal momento che il limite totale viene imposto dal pipe std in che si trova all estremit delle rispettive concatenazioni Configurazione del traffico Nu I pipe ssh in e telnet in funzionano da filtri per la priorit ovvero controllano che solo il volume riservato rispettivamente di 64 e 32 kbps di traffico con precedenza 1 raggiunga std in Il traffico SSH e telnet che supera le rispett
266. s ac Visualizza il contenuto della sezione di configurazione Access ARP a Sintassi arp options lt interface pattern gt Opzioni ip lt ip address pattern gt hw lt hw indirizzano pattern gt num lt n gt Esempi arp int arp ip 10 1 dmz Visualizza le voci ARP per l interfaccia specificata Vengono mostrati gli elementi pubblicati statici e dinamici 162 EnterNet FireWall ARPSnoop arps Consente di passare alla visualizzazione a video delle query ARP Questo comando pu essere di grande aiuto nella configurazione hardware del firewall poich mostra gli indirizzi IP identificati su ogni interfaccia gt arpsnoop all ARP snooping active on interfaces int ext dmz ARP su ext gw world requesting ip ext ARP on int 192 168 123 5 requesting ip int Buffers b Questo comando pu essere utile nella risoluzione dei problemi ad esempio quando un elevato numero di pacchetti non previsto inizia a mettersi in coda nel firewall oppure quando il traffico non sembra scorrere in modo corretto per qualche ragione inspiegabile Analizzando il contenuto dei buffer possibile determinare se tale traffico raggiunge il firewall Sintassi buffers Apre un elenco degli ultimi buffer liberati Sintassi buffer lt number gt Mostra il contenuto del buffer specifico Sintassi buffer punto Mostra il contenuto dell ultimo buffer utilizzato CfgLog cfgl Mostra i risultati dell ultima ric
267. salvare la configurazione nel database di amministrazione Rispondere No alla richiesta di caricamento della configurazione nel firewall Domande frequenti FAQ Perch la configurazione non viene trasferita automaticamente dal firewall a FireWall Manager se stata aggiornata manualmente sul disco di avvio o se il firewall stato aggiornato da un FireWall Manager connesso ad un altro database di amministrazione Per ragioni di sicurezza Se nonostante tutto qualcuno riuscisse ad entrare nel firewall la configurazione corretta rimarrebbe comunque nel database di amministrazione Nei caso in cui il firewall stesso fosse in grado di determinare con certezza quale pu essere considerata una buona configurazione il trasferimento potrebbe avvenire automaticamente Tuttavia la tecnologia necessaria non al momento disponibile Se lo fosse il problema non si porrebbe dal momento che il firewall stesso sarebbe in grado di configurarsi senza dover ricorrere ad un intervento esterno possibile scaricare la configurazione dal firewall selezionando il comando Download Configuration dal menu Firewall Advanced Si consiglia per di analizzare attentamente la configurazione scaricata prima di salvarla nel database di gestione Perch non possibile utilizzare nomi IP dal DNS nelle regole di firewall Quando i server vengono spostati necessario effettuare un doppio lavoro per modificare gli indirizzi sia nel DNS che nel
268. sentito dal firewall Internet Explorer e Netscape vengono generalmente impostati per funzionare in Passive Mode mentre il software FTP viene spesso impostato per funzionare in Active Mode Queste impostazioni possono essere cambiate nella maggior parte dei software FTP ma non nel caso del client FTP fornito con Windows Consultare i file della guida del software FTP per ulteriori informazioni sul passaggio alla modalit Passive PASV La versione pi recente di Internet Explorer 5 utilizza Active Mode se viene impostato per visualizzare i siti FTP come se fossero unit disco rigido Se per viene impostato su Display FTP as a web page utilizza FTP in Passive Mode Molti firewall utilizzano un proxy o Application Layer Gateway per consentire al server FTP di aprire la seconda connessione verso il client EnterNet ha dimostrato recentemente che tutti i firewall con FTP Application Layer Gateway posso subire violazioni che fanno s che il firewall apra una porta attraverso la quale possibile ottenere accesso a macchine su reti protette Il sospetto di questa possibilit emerso nel 1998 Enternet implementer un FTP Application Layer Gateway nel proprio firewall solo quando sar stato scoperto un modo per combattere questa vulnerabilit Domande frequenti FAQ FTP funziona con tutte le versioni di Netscape e Internet Explorer sino alla versione 4 ma non con la versione 5 Qual il problema Per consentire a FTP
269. si verifica quando una quantit eccessiva di pacchetti vengono messi in coda per un invio successivo Il pacchetto scartato sempre quello che si trova in coda da pi tempo ci significa che il collegamento in cui si verifica la perdita del pacchetto sar quello che sovraccaricher di pi il sistema e Dyn User Limit Bps Limite corrente della larghezza di banda per utente del pipe Se il bilanciamento dinamico della larghezza abilitato questo valore pu essere inferiore rispetto ai limiti configurati per ciascun utente EnterNet FireWall Manager 7 44 Statistiche per ciascuna interfaccia FireWall gt e Counters Pps Numero di pacchetti E os sio Rule Use ricevuti inviati e sommati Insieme Pipes gt eis Pps eci e Bps counters Numero di bit ricevuti int Pps sent inviati e sommati insieme Fpa toa Bps received e Drops Numero di pacchetti ricevuti da a z E be a Mer ps total questa interfaccia che sono stati rilasciati Don su intervento del set di regole oppure in IP Errors seguito a verifiche di coerenza dei arraine ICMP received pacchetti non riuscite Frags received Frag reass OK e IP Errors Numero di pacchetti ricevuti da questa interfaccia che sono stati cos mutilati che avrebbero potuto difficilmente attraversare un router per arrivare al firewall pur non essendo il risultato di un attacco Frag reass fail e Send Fails Numero di pacchetti non inviati a ca
270. spettivamente nelle porte 80 e 25 186 EnterNet FireWall 11 wwwsrv pub ip_ext 12 mailsrv pub ip_ext E inoltre possibile specificare gli indirizzi tramite i quali sono pubblicati i server Web e di posta Utilizzando gli indirizzi predefiniti i server Web e di posta saranno pubblicati tramite l indirizzo IP esterno del firewall Questi indirizzi vengono utilizzati nella sezione Rules per implementare la traduzione statica dell indirizzo e consentire la connessione rispettivamente alle porte 80 e 25 Gli indirizzi sopra descritti vengono pubblicati automaticamente nella sezione ARP Se questi vengono modificati in un indirizzo differente dall IP esterno del firewall sar probabilmente necessario che questo risponda alle query ARP per tali indirizzi In questo caso il traffico destinato a tali indirizzi sar diretto al firewall Se il traffico verso tali indirizzi era instradato comunque al firewall gli indirizzi non saranno pubblicati La pubblicazione ARP che sia necessaria o meno non provocher alcun danno 13 ftpsrv 194 1 2 3 Il server FTP che si trova nell area DMZ viene configurato con un indirizzo pubblico nonostante sia ubicato nella stessa rete di altri server con indirizzi privati Questo indirizzo viene utilizzato nella sezione Rules per autorizzare il traffico verso la porta 21 e le porte 1024 65535 Il server FTP pu inoltre aprire connessioni esterne verso
271. stallata una workstation che esegue EnterNet FireWall Manager In questo caso per sono presenti tre diverse zone demilitarizzate due delle quali sono state appositamente progettate per ospitare un solo server ciascuna per motivi di sicurezza 30 EnterNet FireWall 3 4 3 Esempio 3 segmentazione di una rete aziendale ormai certo che la maggior parte degli accessi indesiderati alle reti sono provocati da utenti che si trovano all interno di un azienda Questo discorso valido in modo particolare per le grandi aziende Quindi la protezione reciproca di ogni singola parte di una rete aziendale importante quanto la sicurezza di tutto il sistema dagli attacchi Internet La figura illustra l uso di EnterNet FireWall in una soluzione nella quale i diversi reparti di una rete aziendale sono protetti uno dall altro oltre che da Internet L implementazione di questo tipo di soluzione non deriva necessariamente dalla mancanza di fiducia nel personale dipendente Piuttosto la segmentazione di una rete interna consente di limitare la diffusione di eventuali problemi Infatti se un pirata informatico o un virus riesce a entrare nella rete di un reparto la segmentazione consentir di ridurre i danni conseguenti EnterNet FireWall 31 3 4 4 Esempio 4 soluzione firewall ISP ASP Nelle reti a banda larga e in altri ambienti nei quali connessioni Internet e altri servizi basati su IP devono
272. stazione predefinita 300 secondi 5 minuti HighBuffers Il numero di buffer da allocare alla RAM superiore al limite di 1 MB Nota dal momento che i driver ODI non possono accedere alla RAM superiore a 1 MB non verranno allocati buffer pi elevati quando si utilizzano questi driver Nella RAM bassa esiste in genere spazio sufficiente per 200 buffer in base al numero di driver ODI caricati Impostazione predefinita 1024 buffer EnterNet FireWall Manager BOOTPRelay Attiva o disattiva un semplice relay BOOTP DHCP nel software del firewall Si tratta di una funzione abbastanza semplice e senza concetto di stato Questa opzione pu essere considerata una funzionalit precedente al rilascio e non dovrebbe essere attivata se non si conoscono bene le conseguenze che potrebbero derivarne Rivolgersi al personale di supporto tecnico di EnterNet per una descrizione completa e aggiornata dei relativi effetti prima di attivare tale funzione Impostazione predefinita OFF MaxPipeUsers Il numero massimo di utenti pipe da allocare Poich gli utenti pipe vengono identificati per un ventesimo di secondo non necessario che tale numero sia prossimo al numero degli utenti effettivi oppure a quello delle connessioni di stato identificate Se i pipe non sono stati configurati impossibile allocare utenti pipe a prescindere da questa impostazione Per ulteriori informazioni sui pipe e sui relativi utenti consultare il capitolo 10 Conf
273. stazioni elevate Tuttavia queste vengono generalmente ignorate quando EnterNet FireWall viene eseguito a una velocit di 10 Mbps o inferiore Hardware e prestazioni del firewall 4 3 6 Configurazione del BIOS Probabilmente sar necessario modificare tutte o parte delle seguenti impostazioni del BIOS e Disattivazione di tutte le funzioni relative al risparmio energetico ad esempio arresto della CPU o della scheda di rete comunque possibile che le funzioni di salvaschermo rimangano attive e Modifica della sequenza di avvio delle unit in modo che la lettera del supporto di avvio utilizzato ad esempio A per il disco floppy venga utilizzata prima di quella dell unit a disco rigido ovvero C e Se si desidera rimuovere successivamente la tastiera sar probabilmente necessario selezionare una sequenza di avvio non soggetta a interruzioni in caso di eventuali errori quali Halt on No Errors Questo importante perch quasi tutti i BIOS interpretano come un errore la mancanza di una tastiera e richiedono pertanto la pressione di un tasto per continuare 4 3 7 Altri requisiti Per eseguire EnterNet FireWall necessario inserire una chiave hardware nella porta parallela In questa circostanza consigliabile utilizzare la porta parallela standard Infatti se la chiave hardware viene inserita nelle porte parallele di schede PCI aggiuntive o simili potrebbero verificarsi problemi In assenza della
274. stinazione saranno inoltre tradotti secondo le regole SAT descritte in precedenza 11 Allow ANY all nets dnssrv pub 32 UDP ALL gt 53 La regola 11 consente di eseguire query DNS sulla porta 53 UDP dell indirizzo pubblico del server DNS Gli indirizzi di destinazione saranno inoltre tradotti secondo le regole SAT descritte in precedenza 12 Allow ANY dnsslave 32 dnssrv pub 32 TCP ALL gt 53 La regola 12 consente al server DNS secondario esterno di eseguire i trasferimenti dell area DNS mediante la porta 53 TCP dell indirizzo pubblico del server DNS Queste comunicazioni vengono indirizzate in base alle regole SAT descritte sopra 13 Drop ANY all nets intnet All La regola 13 consente di bloccare tutto il traffico diretto alla rete interna indipendentemente dall utente Il motivo di tale funzionamento che le regole che seguono che consentono varie forme di comunicazione da DMZ non devono avere come effetto finale la connessione dell interfaccia DMZ alla rete interna 14 SAT dmz mailfwd priv 32 ip_dmz 32 TCP ALL gt 25 SetDest int mail 25 15 Allow dmz mailfwd priv 32 ip_dmz 32 TCP ALL gt 25 La regola 14 consente di implementare la traduzione statica dell indirizzo di connessioni SMTP dal sistema di inoltro della posta nell area DMZ all indirizzo
275. strazione Da questo elenco centralizzato possibile gestire tutte le applicazioni EnterNet FireWall installati nell azienda Per ogni firewall verranno visualizzate le seguenti informazioni of EnterNet FireWall Manager Of x File Firewall Tools Log View Window Help e Icon sE all cf Firewall List iene Listes conve Uine I Cao da D8 da issnostes Daa souco A i a 23 1 6 00 00 own 2001 01 1814 05 Database indica che il firewall sta rispondendo alle query sullo stato effettuate da FireWall Manager Tuttavia questo non significa necessariamente che la workstation su cui viene eseguito FireWall Manager sia autorizzata ad amministrare tale applicazione in remoto indica che il firewall non ha risposto recentemente alle query sullo stato indica che non stato possibile accedere al firewall per un periodo di tempo molto lungo oppure che il firewall non ha risposto alle query dall avvio di FireWall Manager indica che il firewall stato definito come inattivo pertanto FireWall Manager non tenter di contattarlo oppure comunicher che non possibile accedere al firewall EnterNet FireWall Manager e Nome e Address e Core ver e Uptime e Core cfg e DB cfg e Last mod e Datasource Questo nome viene utilizzato solo all interno di FireWall Manager per semplificare la leggibilit dell elenco Quindi non in correlazione con i nomi DNS le risorse di dominio
276. strazione avviene non appena si rileva una qualsiasi attivit per tutti i destinatari specificati La procedura per la lettura dei file di log dipende dal tipo di loghost utilizzato Per il FireWall Logger vedere la sezione 9 2 EnterNet FireWall Logger Lo stesso valido anche per la lettura dei file syslog in cui tutto dipende dal daemon syslog utilizzato vedere la documentazione per il daemon syslog FireWall Manager fornisce anche un visualizzatore per i file di log in tempo reale Questo visualizzatore mostra solo ci che si verificato dal momento che stato attivato EnterNet FireWall v5 1 e superiore consente di presentare molte pi informazioni utilizzando questo visualizzatore rispetto alle versioni precedenti Il visualizzatore del file di log in tempo reale di FireWall Manager utilizza lo stesso collegamento remoto della console remota e la visualizzazione delle statistiche di conseguenza le workstation che utilizzano questo visualizzatore non necessitano di essere specificate nella sezione Loghosts EnterNet FireWall Manager 7 3 12 Scheda Remotes E Configuration of gw myorganisation 192 168 123 1 Settings Hosts Nets Pipes Interfaces ARP Routes Access Rules Loghosts Remotes Mode Iface Net Comments 1 NetCon intnet Allow NetCon remote control access to all hosts on the inter 2 Xfer int intnet Also allow file transfer access 3 La scheda Remotes con
277. ta 2000 byte MaxL2TPLen Specifica la dimensione massima di un pacchetto Layer 2 Tunneling Protocol Impostazione predefinita 2000 byte MaxOtherSubIPLen Specifica la dimensione massima dei pacchetti con protocolli non specificati precedentemente Impostazione predefinita 1480 byte LogOversizedPackets Specifica se il firewall deve registrare i pacchetti che superano le dimensioni consentite Impostazione predefinita ABILITATO 7 3 2 8 Impostazioni di frammentazione Il protocollo IP in grado di trasportare fino a 65536 byte di dati Tuttavia la maggior parte dei supporti come ad esempio la rete Ethernet non pu trasferire pacchetti cos grandi In compenso lo stack IP frammenta i dati da inviare in pacchetti separati ciascuno dei quali con la propria intestazione IP e le relative informazioni che consentiranno al destinatario di riassemblare correttamente il pacchetto originale EnterNet FireWall Manager Tuttavia molti stack IP non sono in grado di gestire correttamente i pacchetti frammentati cosa che pu essere sfruttata da intrusi indesiderati per bloccare tali sistemi Il sistema EnterNet FireWall fornisce vari di tipi di protezione contro gli attacchi compiuti sulla frammentazione dei pacchetti IllegalFrags Determina la modalit in cui il firewall gestisce i frammenti ricostruiti in modo non corretto Il termine ricostruiti in modo non corretto si riferisce ai frammenti sovrapposti duplicati con
278. tallazione del servizio Inserire il CD di EnterNet FireWall nel computer dal quale verr eseguito FireWall Logger ovvero la macchina a cui EnterNet FireWall invier i dati di log Il software di installazione si avvier automaticamente Auditing da EnterNet Firewall In caso contrario selezionare Run dal menu di avvio e digitare D setup exe dove D rappresenta la lettera dell unita CD ROM Selezionare installazione di FireWall Logger e seguire le istruzioni sullo schermo Una volta completata I installazione la procedura guidata avvier automaticamente il servizio necessario sottolineare che FireWall Logger come tutti i servizi di Windows NT non pu essere installato mediante una condivisione in rete ma solo su dischi rigidi locali Questo perch i servizi solitamente vengono eseguiti come utenti locali senza accesso alle risorse di rete 9 2 1 3 Maggiore sicurezza locale per FireWall Logger Per una maggiore sicurezza nella rete locale si consiglia di adottare le misure necessarie per proteggere il sistema di registrazione dagli accessi non autorizzati Le impostazioni per il servizio EnterNet FireWall Logger devono venire modificate in modo che possa essere eseguito come utente locale con diritti minimi di accesso al resto del sistema In Logger sono necessarie le autorizzazioni in scrittura solo nella gerarchia della directory locale dove vengono archiviati i log Si consiglia di proteggere la
279. tandard Ora necessario consentire il passaggio del traffico di ritorno attraverso il pipe surf in definito in precedenza Configurazione del traffico Come prima cosa si pud provare a pales consentire il passaggio del traffico di u esplorazione attraverso il pipe surf in p a i P p Remove nella concatenazione di ritorno n D Sfortunatamente per questo non Foza consentir di ottenere gli effetti desiderati In questo modo si ottiene il passaggio del traffico in entrata attraverso due pipe uno che inoltra 256 kbps e l altro che inoltra 128 kbps per un totale di 384 kbps di traffico in entrata r Return Chain Up Remove Down Per limitare il traffico di esplorazione a 128 kbps senza dover riconfigurare i limiti totali sufficiente consentire il passaggio di tale traffico in entrata anche idin attraverso il pipe std in In questo modo il traffico di esplorazione in entrata passa prima attraverso il pipe surf in che lo limita a 128 kbps quindi viene fatto passare attraverso il pipe std in insieme al resto del traffico in entrata raggiungendo il limite totale di 256 kbps Perci se l esplorazione occupa 128 kbps di larghezza di banda quei 128 kbps occupano met del pipe std in lasciando solo 128 kbps per il resto del traffico soluzione che probabilmente soddisfa maggiormente l utente Se non in corso alcuna attivit di esplorazione tutti i 256 kbps a cui
280. tazione predefinita DropLog elimina i frammenti e ricorda che il tentativo di riassemblaggio sospetto DuplicateFragData Se viene ricevuto pi di una volta lo stesso frammento possibile che questo sia stato duplicato in un punto qualsiasi del tragitto verso il destinatario oppure che un pirata informatico stia cercando di sabotare il riassemblaggio del pacchetto Per determinare quale situazione sia la pi probabile EnterNet FireWall confronta i componenti dei dati del frammento Tale confronto avviene su un numero di posizioni casuali all interno del frammento che pu oscillare da 2 a 512 verificando quattro byte per ciascuna posizione Se il confronto viene eseguito su un numero di campioni maggiore probabile che vengano individuati alcuni duplicati non compatibili Tuttavia notare che pi aumenta il numero di confronti e maggiore sar il carico della CPU Impostazione predefinita Check8 confronta 8 posizioni casuali un totale di 32 byte FragReassemblyFail Il riassemblaggio potrebbe non riuscire a causa di una dei seguenti problemi e Alcuni frammenti non sono arrivati nel tempo stabilito dalle impostazioni ReassTimeout o ReassTimeLimit Ci significa che uno o pi frammenti sono andati persi nel loro percorso in Internet un evento abbastanza frequente e Il firewall ha interrotto la procedure di riassemblaggio a causa dell arrivo di nuovi pacchetti frammentati che hanno temporaneamente assorbito tu
281. te L esempio TCP illustrato sopra porterebbe la porta 80 ad essere mappata sulla porta 8000 come wwwsrv e la porta 81 a 8001 EnterNet FireWall Manager Per ulteriori informazioni consultare la sezione 8 1 Traduzione Le regole per la traduzione degli indirizzi dinamici NAT hide sono leggermente degli indirizzi Sender Translation Specify Sender Address i C Use Interface Address diverse dalle regole SAT nel fatto che la traduzione viene applicata solo ieee all indirizzo IP del mittente i In genere EnterNet FireWall utilizza l indirizzo dell interfaccia che invia il pacchetto come indirizzo del mittente per collegamenti tradotti in modo dinamico mediante l opzione Use Interface Address Tuttavia possibile anche specificare l indirizzo del mittente scegliendo l opzione Specify Sender Address e immettendo l indirizzo del mittente richiesto EnterNet FireWall Manager 7 3 11 Scheda Loghosts fim Configuration of gw myorganisation 192 168 123 1 Settings Hosts Nets Pipes Interfaces ARP Routes Access Rules Loghosts Remotes Comments You may add up to eight loghosts La scheda Loghosts contiene un elenco degli indirizzi IP in cui sono installati i destinatari della registrazione EnterNet FireWall v6 0 in grado di inviare dati di log sia a Enternet Firewall Loggers che ai destinatari di syslog Possono essere specificati fino a otto loghost per ciascun firewall La regi
282. te per rilevare quali porte siano accessibili esternamente sui server pubblici risulta che sono aperti intervalli casuali di porte UDP Queste porte aperte variano ogni volta che viene eseguito lo scanner Cosa accade di preciso Uno scanner di porte non pu mai verificare che una specifica porta UDP su una macchina protetta sia veramente aperta Ci che pu fare inviare uno o pi pacchetti nella direzione della macchina in questione Ci che accade ai pacchetti prima che raggiungano la macchina un altra questione Molti scanner di porte attendono la ricezione di pacchetti Destination Unreachable ICMP EnterNet FireWall restituisce tali pacchetti se sono stati scartati perch corrispondenti a una regola Reject ma ne invia solo alcuni al secondo Se la velocit dei pacchetti a cui stato negato l accesso maggiore questi vengono scartati definitivamente ma il firewall non invier pi messaggi ICMP Destination Unreachable La corrispondenza a regole Drop non porta mai all invio di messaggi Destination Unreachable Se per uno dei due motivi appena elencati lo scanner non riceve nessun messaggio di questo tipo riterr erroneamente che la porta aperta Domande frequenti FAQ Per scoprire realmente a cosa viene consentito il passaggio attraverso il firewall possibile collegare alla rete uno Sniffer un analizzatore di rete che visualizza il contenuto dei pacchetti Utilizzare uno scanner per analizz
283. te saranno utilizzati in seguito nella colonna Pipes della scheda Rules La configurazione del traffico rientra nelle funzionalit avanzate di EnterNet FireWall e non consigliabile ad utenti principianti Administration Best_effort Per una descrizione dettagliata sulla configurazione del traffico e dei pipe per i diversi usi consultare il capitolo 10 Configurazione del traffico e Name Specifica un nome simbolico per il pipe Questo nome viene utilizzato nelle impostazione dei pipe della scheda Rules e Min Prec Ciascun pipe composto da 8 differenti precedenze numerate da 0 a 7 Questa impostazione specifica la precedenza pi bassa consentita per il traffico in questo pipe Se entra un pacchetto con una precedenza inferiore questa viene aumentata al valore contenuto in questo campo Il valore pu variare da 0 a 7 e Def Prec Specifica la precedenza predefinita per il pipe Se un pacchetto entra in questo pipe senza una precedenza gi impostata gli viene assegnata la precedenza predefinita Il valore pu variare da 0 a 7 ma deve essere maggiore o uguale alla precedenza minima EnterNet FireWall Manager Max Prec Specifica la precedenza pi alta consentita per il traffico in questo pipe Se entra un pacchetto con una precedenza superiore questa viene ridotta al valore contenuto in questo campo Il valore pu variare da 0 a 7 ma deve essere superiore o uguale alla precede
284. te tali chiavi ad esempio quando si aggiorna una vecchia versione del firewall oppure quando si trasferisce la gestione di un firewall da un autorit ad un altra EnterNet FireWall Manager Upload New Core Consente di inviare una nuova versione di software al firewall specificato E possibile utilizzare questa funzione quando viene rilasciata una nuova versione di EnterNet FireWall e si desidera aggiornare il software del firewall Upload Configuration Consente di inviare al firewall la configurazione memorizzata nel database di amministrazione tramite la rete Al termine del trasferimento il firewall in questione riceve le informazioni necessarie per attivare la nuova configurazione tramite la rilettura del file di configurazione dal supporto di avvio Dopo la riconfigurazione EnterNet FireWall utilizza un processo di verifica bidirezionale per controllare la comunicazione tra FireWall Manager e il firewall Se per qualsiasi motivo fosse impossibile eseguire la comunicazione il firewall ritorner automaticamente alla configurazione precedente Questa procedura consente di non perdere quasi mai il controllo di un firewall remoto Download Configuration Consente di recuperare la configurazione in esecuzione dal firewall selezionato e di salvarla direttamente nel database di amministrazione oppure di visualizzarla nell editor di configurazione Export Firewall Data Consente di esportare le propriet e la configurazi
285. terNet Firewall 9 2 EnterNet FireWall Logger EnterNet FireWall Logger viene eseguito come servizio su una workstation Windows NT o Windows 2000 Sono in preparazione degli adattamenti per poter eseguire il firewall logger sotto vari linguaggi Unix Il servizio riceve dati UDP da EnterNet FireWall sulla porta 999 I dati vengono quindi ordinati e salvati con una struttura gerarchica nella quale ciascun firewall rappresentato da una singola directory I file di registro sono in formato binario per consentire una analisi pi rapida 9 2 1 Installazione di FireWall Logger 9 2 1 1 Dove installare FireWall Logger EnterNet FireWall Manager viene utilizzato come interfaccia utente per tutte le operazioni FireWall Logger compresa la configurazione e l analisi dei dati di log In questo modo il computer e la directory in cui installato FireWall Logger devono essere accessibili mediante la condivisione di file Windows dalle workstation di gestione che devono avere accesso ai log E possibile consentire la scrittura selettivamente in base a ogni singolo utente Per il file fwlogger cfg questa proprieta deve essere assegnata agli amministratori che gestiscono il ricevitore di log Notare che solo il canale NetBIOS deve essere unidirezionale ovvero Firewall Logger puo essere installato su un server in una zona demilitarizzata con regole di firewall che consentono l accesso ai file condivisi NetBios dalle reti interne 9 2 1 2 Ins
286. ti da numerosi protocolli di rete L utilizzo pi comune un pacchetto IP che comincia in un valore compreso tra 32 e 255 a seconda del sistema operativo che lo invia Il valore TTL viene diminuito da ciascun router che il pacchetto incontra sul percorso verso la sua destinazione Se TTL raggiunge lo zero il pacchetto viene scartato Il motivo principale la necessit di prevenire loop infiniti tra due o pi router TCP un protocollo utilizzato dalla maggior parte delle applicazioni di Internet ad esempio HTTP FTP e Telenet Il protocollo TCP viene trasportato all interno di IP Il vantaggio offerto da questo protocollo che garantisce che un pacchetto inviato da A raggiunger B aspettando conferme e rinvii Vedere anche IP e UDP Vedere Time To Live Vedere User Datagram Protocol Glossario 307 User Datagram Udp un protocollo utilizzato da molte applicazioni Protocol in tempo reale su Internet Il protocollo UDP viene trasportato all interno di IP UDP non garantisce automaticamente che un pacchetto inviato da A raggiunger B offrendo il vantaggio di non dover attendere conferme o rinvii Vedere anche JP e TCP VPN Vedere Virtual Private Network Virtual Private Una connessione crittografata e autenticata su una Network rete non sicura come Internet che collega reti locali o client mobili VPN rappresenta spesso un alternativa a costi contenuti alle linee dedicate Esiste uno standard fissato pe
287. ti in questa finestra di dialogo influiscono direttamente sul comportamento in funzione di FireWall Logger Dopo avere modificato le impostazioni non necessario riavviare Logger dal momento che il servizio controlla di continuo il file di configurazione per rilevare eventuali modifiche _ Auditing da EnterNet Firewall La parte superiore destra della finestra di dialogo controlla quali sono i firewall autorizzati ad inviare log a questo specifico FireWall Logger L elenco Available Firewalls visualizza tutti i firewall presenti nel database di gestione che non sono stati ancora autorizzati a comunicare con questo specifico FireWall Logger L elenco Allowed Firewalls contiene tutti i firewall accettati da questo FireWall Logger Per assegnare un firewall disponibile a questo Logger selezionare il firewall dall elenco Available Firewalls e fare clic su Add Per rimuovere un firewall selezionarlo dall elenco Allowed Firewalls e fare clic su Remove Notare che in entrambi gli elenchi sono consentite selezioni multiple Nel caso in cui l IP mittente di un firewall sia diverso quando comunica con un ricevitore di log e quando comunica con la workstation di gestione necessario modificare l indirizzo IP autorizzato a comunicare con FireWall Logger Per effettuare tale modifica fare doppio clic sulla voce relativa nell elenco Allowed Firewalls e modificare l indirizzo IP nella finestra di dialogo che si apre Questo proc
288. ticamente la comunicazione tradotta a tali indirizzi e poi inoltrarla ai server interni con indirizzi IP privati La differenza tra l opzione XPublish e Publish che la prima mente circa l indirizzo del mittente nell intestazione Ethernet questa viene impostata per essere uguale all indirizzo hardware pubblicato invece che all indirizzo hardware effettivo della scheda di rete EnterNet FireWall Manager Se l indirizzo hardware pubblicato uguale a quello della scheda di rete la scelta dell opzione Publish o Xpublish del tutto indifferente i risultati saranno gli stessi Nella sezione ARP gli indirizzi possono essere pubblicati solo uno alla volta La sezione Routes dall altra parte pu gestire la pubblicazione di intere reti mediante Proxy ARP possibile trovare esempi di elementi ARP pubblicati nella sezione 8 5 Esempi di configurazione 7 3 8 Scheda Routes E Configuration of gw myorganisation 192 168 123 1 Settings Hosts Nets Pipes Interfaces ARP Routes Access Rules Loghosts Remotes Iface Net Gateway Local IP Proxy RP Comments TI 2 Jext extnet firewall interface addresses are NO 3 Jext all nets gw world La scheda Routes descrive la tabella di instradamento del firewall EnterNet FireWall utilizza un modo diverso di descrivere i percorsi se paragonato ad altri sistemi Tuttavia si ritiene che tale modo di descrivere i percorsi sia pi semplice
289. tiene un elenco di indirizzi IP a cui sono stati concessi i diritti per amministrare il firewall in modalit remota Inoltre determina quali aspetti del firewall possono essere amministrati Notare che per amministrare il firewall in modalit remota non sufficiente essere inclusi nell elenco di indirizzi IP autorizzati L amministratore deve conoscere anche la chiave di crittografia a 128 bit memorizzata nel database di amministrazione La scheda Remotes non consente di stabilire automaticamente una connessione tra la porta 999 TCP UDP e il firewall Tale comunicazione deve essere autorizzata anche dal set di regole e Mode Determina le funzioni del firewall che possono essere amministrate NetCon indica che possibile collegarsi alla console del firewall tramite la rete Xfer indica che possibile trasferire i file di configurazione e aggiornare il software di EnterNet FireWall e Interface Specifica l interfaccia su cui devono essere ricevute le connessioni affinch vengano concessi i diritti di amministrazione remota e Net Specifica un insieme di indirizzi IP a cui devono essere concessi i diritti di amministrazione remota per il firewall EnterNet FireWall Manager 7 4 Visualizzazione delle statistiche Scegliendo Statistics dal menu FireWall si accede alla visualizzazione delle statistiche che mostra i vari aspetti del fill Statistics for gw myorganisation 192 168 123 1 Scale Current Display pe
290. ting da EnterNet Firewall Esistono comunque altre situazioni in cui EnterNet FireWall genera eventi Nella tabella che segue vengono elencati i tipi o categorie pi comuni di eventi e le informazioni incluse in ogni categoria Molti eventi presentano inoltre un analisi dei contenuti del pacchetto Eventi USAGE Dati statistici periodici Questo tipo di eventi viene inviato periodicamente e fornisce statistiche relative a connessioni e volume di traffico L intervallo tra un evento e l altro viene determinato dall impostazione UsageLogInterval nella sezione Settings della configurazione del firewall Ciascun evento USAGE contiene le seguenti informazioni Statistiche della connessione Connections closed Numero di connessioni chiuse nel periodo Connections opened Numero di connessioni aperte nel periodo Max connections Numero massimo di connessioni aperte in un dato momento nel periodo Min connections Numero minimo di connessioni aperte in un dato momento nel periodo Current connections Numero di connessioni aperte al momento dell evento Statistiche per interfaccia Bits in sec Volume medio di traffico ricevuto dall interfaccia al secondo Bits out sec Volume medio di traffico inviato dall interfaccia al secondo Packets in sec Volume medio di pacchetti ricevuti dall interfaccia al secondo Packets out sec Volume medio di pacchetti inviati dall interfaccia al secondo _ Auditing da EnterNet Fire
291. tione da parte del firewall dei pacchetti TCP che non contengono flag SYN ACK FIN o RST attivati Secondo lo standard TCP tali pacchetti non sono validi e vengono utilizzati dal fingerprinting del sistema operativo e dagli scanner per porte clandestine Infatti alcuni firewall non sono in grado di rilevarli Impostazione predefinita DropLog 7 3 2 3 Impostazioni di livello ICMP ICMPSendPerSecLimit Definisce 11 numero massimo di messaggi ICMP che EnterNet FireWall puo generare in un secondo Sono incluse le risposte del protocollo ping i messaggi di destinazione non raggiungibile e anche i pacchetti TCP RST In sostanza questa opzione limita il numero di rifiuti che possono essere creati in un secondo dalle regole Reject della sezione Rules Impostazione predefinita 20 al secondo SilentlyDropStateICMPErrors Consente di stabilire se gli errori ICMP relativi alle connessioni aperte rilevate debbano essere rifiutati dal firewall Gli errori non eliminati con questa impostazione verranno trasmessi alle regole per essere valutati come avviene per gli altri pacchetti Impostazione predefinita ABILITATO EnterNet FireWall Manager 7 3 2 4 Impostazioni ARP ARPMatchEnetSender Consente di determinare se il firewall richieder l indirizzo del mittente a livello Ethernet per soddisfare l indirizzo hardware riportato nei dati ARP Impostazione predefinita DropLog ARPQueryNoSenderIP Gli indirizzi IP del mittente 0 0 0 0 nelle quer
292. to IP incapsulato ICMP icmpipproto Stringa Protocollo IP da 0 a 255 in pacchetto IP incapsulato ICMP description Stringa Descrizione dell evento Fin Booleano Flag TCP FIN 0 o 1 Syn Booleano Flag TCP SYN rst Booleano Flag TCP RST psh Booleano Flag TCP PSH ack Booleano Flag TCP ACK urg Booleano Flag TCP URG xmas Booleano Flag TCP XMAS ymas Booleano Flag TCP YMAS enetproto PAROLA Numero di protocollo Ethernet da 0 a 65535 rule Stringa Nome della regola satsrcrule Stringa Nome regola di origine SAT satdestrule Stringa Nome regola di destinazione SAT enet index BYTE Valore a index byte oltre l intestazione Ethernet ip index BYTE Valore a index byte oltre l intestazione IP tcp index BYTE Valore a index byte oltre l intestazione TCP udp index BYTE Valore a index byte oltre l intestazione UDP _ Auditing da EnterNet Firewall Tipi di output Vari tipi di output definiti vengono utilizzati nella definizione dei dati che la query deve restituire Tutti i tipi di output restituiscono dati in solo testo tranne il tipo binario che restituisce 1 dati nel formato binario utilizzato dallo strumento di query Il tipo di output binario l unico tipo di output consentito quando si utilizza lo strumento di analisi delle query e non pu essere combinato con i tipi di output in solo testo Sono definiti i seguenti tipi di output Nome Descrizione Binary Output in formato binario utilizzato solo all
293. tte le risorse In tali situazioni i tentativi di riassemblaggio precedenti vengono interrotti o contrassegnati come non riuscito e Un pirata informatico ha tentato di inviare un pacchetto frammentato in modo non corretto EnterNet FireWall Manager In normali circostanze non necessario registrare gli errori visto che questi si verificano di frequente Tuttavia potrebbe essere utile registrate gli errori relativi ai frammenti sospetti Tali errori possono verificarsi se ad esempio l impostazione IllegalFrags stata impostata su Drop piuttosto che su DropPacket Le seguenti impostazioni sono disponibili per l opzione FragReassemblyFail e NoLog Non viene eseguita alcuna registrazione quando un tentativo di riassemblaggio non riesce e LogSuspect Registra i tentativi di riassemblaggio non riusciti solo nel caso in cui sono stati individuati frammenti sospetti e LogSuspectSubseq Simile all opzione LogSuspect ma registra anche i frammenti successivi del pacchetto non appena arrivano e LogAll Registra tutti i tentativi di rlassemblaggio non riusciti e LogAllSubseq Simile all opzione LogAll ma registra anche i frammenti successivi del pacchetto non appena arrivano Impostazione predefinita LogSuspectSubseq DroppedFrags Se un pacchetto non viene autorizzato ad entrare nel sistema in base alle impostazioni della sezione Rules potrebbe essere utile registrare i singoli frammenti del pa
294. uale ricorder che una connessione stata aperta Quindi le regole per il ritorno del traffico non saranno richieste in quanto il traffico appartenente alle connessioni aperte viene automaticamente gestito prima che raggiunga il set di regole La registrazione viene eseguita se stata attivata nella colonna Log Ci che viene registrato dipende dalle impostazioni LogConnections contenute nella sezione Settings Consultare il paragrafo 7 3 2 5 impostazioni stateful inspection EnterNet FireWall Manager NAT Le regole NAT sono simili alle regole Allow Queste regole eseguono una traduzione dinamica dell indirizzo NAT hide relativa all indirizzo del mittente L utilizzo pi comune della funzione NAT hide quella di portare tutte le macchine presenti su una rete protetta ad essere visualizzate al mondo esterno come se utilizzassero un singolo indirizzo IP Ci pu essere utile per ragioni di sicurezza nascondendo la struttura interna della rete oppure per motivi pratici quali la possibilit di comunicare con le reti pubbliche per macchine con indirizzi privati SAT Quando un pacchetto soddisfa una regola SAT in realt non succede nulla Il firewall invece ricorda che la traduzione statica di un indirizzo sar eseguita in fase successiva e continuer a cercare una regola corrispondente che consenta il passaggio del pacchetto Se il pacchetto soddisfa quindi una delle regole FwdFast Allow o NAT allora viene
295. un pacchetto che contiene dati urgenti Non possibile attivare i due flag all interno di un singolo pacchetto poich essi vengono utilizzati esclusivamente per arrestare i computer che includono stack TCP scarsamente implementati Impostazione predefinita DropLog TCPSynPsh Consente di definire le modalita di gestione da parte del firewall dei pacchetti TCP che includono flag SYN e PSH push attivati Il flag PSH indica che lo stack del destinatario dovrebbe immediatamente inviare le informazioni contenute nel pacchetto all applicazione di destinazione nel computer Non possibile attivare contemporaneamente i due flag per evitare rischi di blocco negli stack TCP scarsamente implementati Tuttavia molti computer Macintosh non implementano correttamente gli stack TCP e pertanto inviano i pacchetti SYN sempre con il flag PSH attivato Per questo motivo EnterNet FireWall generalmente elimina il flag PSH e consente il passaggio del pacchetto nonostante l opzione sia impostata per rifiutarlo Impostazione predefinita StripSilent EnterNet FireWall Manager TCPFinUrg Consente di definire le modalita di gestione da parte del firewall dei pacchetti TCP che includono flag FIN e Finish close connection URG attivati Questa eventualita non dovrebbe mai verificarsi poich generalmente non capita di chiudere una connessione durante l invio di informazioni importanti Principalmente questa combinazione di flag consente di b
296. uovo firewall preceduto da un icona con un punto interrogativo Questo verra presto sostituito da un altro simbolo il quale indica che non possibile contattare il firewall appena aggiunto Si tratta di una procedura normale che si verifica sempre prima di configurare installare ed eseguire il firewall Modifica delle impostazioni predefinite Questa sezione basata sul modello di configurazione Default Qualora fosse necessario apportare alcune variazioni alle modifiche descritte in questa sezione per adattarle ad un altro modello di configurazione possibile utilizzare i commenti inclusi in ogni modello appositamente progettati per semplificare le procedure Se il firewall appena creato si basa sul modello Default saranno disponibili due interfacce Verr eseguita la traduzione dinamica dell indirizzo sulle connessioni originate internamente e non saranno autorizzate le connessioni originate esternamente Inoltre le regole consentono di effettuare connessioni a un server Web o a un server di posta di una rete interna utilizzando la traduzione di indirizzi statici tramite l indirizzo IP esterno del firewall ovvero l unico a essere visibile dall esterno A questo punto possibile inserire le informazioni specifiche per il proprio tipo di installazione tra cui le impostazioni della scheda di rete e gli indirizzi IP of EnterNet FireWall Manager Of x Fie Firewall Tools Log View Window Help ele alel cl Firew
297. uperiori a quelli massimi stipulati I valori troppo alti potrebbero creare problemi negli stack TCP che includono pochi dati oppure potrebbero essere causa di numerose frammentazioni dei pacchetti a discapito delle prestazioni Impostazione predefinita Adjust TCPMSSLogLevel Consente di stabilire quando effettuare la registrazione in caso di valori TCP MSS troppo alti non registrati da TCPMSSOnHigh Impostazione predefinita 7000 byte EnterNet FireWall Manager TCPZeroUnusedACK Consente di comunicare al firewall se impostare su 0 il campo relativo al numero di sequenza ACK dei pacchetti TCP se non utilizzato Alcuni sistemi operativi riportano le informazioni sul numero di sequenza in questo modo e potrebbero quindi agevolare intrusioni indesiderate nelle connessioni protette Impostazione predefinita ABILITATO TCPOPT_WSOPT Consente di specificare le modalita di gestione delle opzioni relative alle proporzioni delle finestre da parte del firewall Tali funzioni consentono di aumentare la dimensione delle finestre utilizzate dal protocollo TCP ovvero la quantita di informazioni che possibile inviare prima che il mittente riceva un messaggio ACK Utilizzati anche dal fingerprinting del sistema operativo WSOPT rappresenta un occorrenza comune nelle reti moderne Impostazione predefinita ValidateLogBad TCPOPT_SACK Consente di definire le modalit di gestione delle opzioni di riconoscimento selettivo da parte del firew
298. upporto verra utilizzato per archiviare le configurazione e la chiave di crittografia Consultare il paragrafo 6 6 1 Creazione di un supporto di avvio per EnterNet FireWall Per maggiori informazioni sul contenuto del supporto consultare la sezione 8 3 Supporti di avvio di EnterNet FireWall Per informazioni sulla modifica del tipo di supporto consultare il comando Select Boot Media Device nel paragrafo 7 2 4 Menu Tools Load Key from Boot Media Consente di copiare la chiave di crittografia da un supporto di avvio di EnterNet FireWall in un determinato firewall del database di amministrazione Ad esempio possibile utilizzare questa funzione per ripristinare manualmente il database di amministrazione nel caso fosse stato inavvertitamente eliminato un firewall dall elenco Inoltre questa opzione consente di trasferire un firewall da un database di amministrazione all altro In questo caso per si consiglia di creare una nuova chiave di crittografia per ogni nuovo database e di salvarla nel supporto di avvio del firewall per evitare che un singolo firewall venga accidentalmente amministrato due volte Change FireWall Keys EnterNet FireWall Manager utilizza un sistema di comunicazione crittografata per tutte le attivit di gestione remota Di solito queste chiavi di crittografia vengono generate ogni volta che viene creato un nuovo firewall nel database di amministrazione A volte per necessario modificare manualmen
299. usa di insufficienza di risorse interne dovuta ad un aumento del carico a problemi hardware oppure a collegamenti half duplex congestionati e ICMP received Numero di datagrammi ICMP ping messaggi di errore destinati all indirizzo IP di questa interfaccia e Frags received Numero di frammenti di pacchetto IP ricevuti da questa interfaccia e Frag reass OK Numero di pacchetti completi che sono stati riassemblati dai frammenti ricevuti e Frag reass fail Numero di pacchetti che non stato possibile riassemblare a causa di insufficienza delle risorse di frammentazione non corretta o di perdita del pacchetto 8 EnterNet FireWall Il presente capitolo fornisce una descrizione dettagliata sul funzionamento di EnterNet FireWall Contiene esempi di configurazione da utilizzare per risolvere problemi e fornisce assistenza in situazioni pi complesse Questo capitolo include inoltre una sezione di riferimento sui comandi per la console del firewall e un elenco del contenuto relativo ai supporti di avvio di EnterNet FireWall 8 1 Traduzione degli indirizzi EnterNet FireWall supporta due tipi di traduzione degli indirizzi dinamica NAT hide statica NAT static Questi due tipi sono rappresentati rispettivamente dalle regole NAT e SAT Esistono due ragioni principali per l utilizzo della funzione di traduzione degli indirizzi e Funzionalit Se si utilizzano indirizzi IP privati sulla rete protetta e gli host prot
300. uta modifichi un elemento esistente nella tabella ARP Tale evento pu facilitare il dirottamento delle connessioni locali Tuttavia se non si usa tale impostazione potrebbero verificarsi alcuni problemi quando ad esempio viene sostituita una scheda di rete poich il firewall non accetter il nuovo indirizzo finch non scaduta la voce della tabella ARP precedente Impostazione predefinita AcceptLog StaticA RPChanges Consente di determinare il comportamento del firewall nelle situazioni in cui una risposta o una richiesta ARP ricevuta modifichi un elemento statico nella tabella ARP Naturalmente ci non deve mai verificarsi Tuttavia tale impostazione non consente di specificare se tali eventi debbano essere registrati Impostazione predefinita DropLog ARPExpire Specifica la durata di conservazione di un elemento dinamico nella tabella ARP prima che venga rimosso Impostazione predefinita 900 secondi 15 minuti ARPExpireUnknown Specifica il periodo di tempo in cui il firewall deve ricordare gli indirizzi che non possono essere raggiunti Ci consente di evitare che il firewall richieda in continuazione tali indirizzi Impostazione predefinita 15 secondi ARPMulticast Definisce la modalita in cui il firewall gestisce le richieste e le risposte ARP in cui sono presenti indirizzi multicast Tali richieste non sono quasi mai corrette con la sola eccezione di alcuni dispositivi di ridondanza e di bilanciamento del carico
301. utile Nella maggior parte dei casi tale regola diventa ancora pi specifica autorizzando solo il traffico destinato all indirizzo IP interno del firewall UDP porta 999 Senza questa regola non potr funzionare l amministrazione remota dalla rete interna NAT Jint intnet all nets Std La regola 8 consente la traduzione dinamica dell indirizzo per tutto il traffico proveniente dalla rete interna verso l esterno In questa regola sono comprese le connessioni interne agli indirizzi pubblici tramite i quali sono pubblicati il server Web e di posta Le connessioni a questi indirizzi ne risultano tradotte dinamicamente purch siano interne Il motivo per cui vengono tradotti gli indirizzi delle connessioni interne all area DMZ che non si desidera rivelare la struttura della rete interna dei server presenti nell area DMZ per evitare che finiscano sotto il controllo di un utente indesiderato Uno spiacevole effetto secondario che i log nei server Web e di posta mostreranno che l accesso stato effettuato dall interfaccia DMZ del firewall e non dai singoli indirizzi interni EnterNet FireWall 203 9 Allow ANY all nets wwwsrv pub 32 TCP ALL gt 80 10 Allow ANY all nets mailfwd pub 32 TCP ALL gt 25 Le regole 8 e 9 consentono l accesso del traffico agli indirizzi pubblici del server Web e del sistema di inoltro della posta rispettivamente porte 80 e 25 Gli indirizzi di de
302. uzione 1 1 dei tutte le porte dell intervallo 80 85 all intervallo 1080 1085 I tentativi di comunicazione con l indirizzo pubblico del server Web porta 80 comporteranno la connessione all indirizzo privato del server Web porta 1080 I tentativi di comunicazione con l indirizzo pubblico del server Web porta 84 comporteranno la connessione all indirizzo privato del server Web porta 1084 EnterNet FireWall 151 8 1 5 Quale delle regole SAT viene eseguita se il firewall trova pi corrispondenze EnterNet FireWall non termina la consultazione del set di regole dopo aver trovato una regola SAT che soddisfa i requisiti Continua a cercare una regola Allow NAT o FwdFast corrispondente Solo dopo aver trovato una regola corrispondente il firewall esegue la traduzione statica dell indirizzo Nonostante ci la prima regola SAT corrispondente trovata per ogni indirizzo proprio quella che verr eseguita Per ogni indirizzo si intende che due regole SAT possono essere applicate contemporaneamente alla stessa connessione a condizione che una traduca l indirizzo del mittente mentre l altra traduca l indirizzo di destinazione SAT ANY all nets wwwsrv pub 32 TCP ALL gt 80 85 SetDest wwwsrv priv 1080 SAT jint Intnet all nets Std SetSrc pubnet Le due regole sopra citate possono essere eseguite simultaneamente sullo stesso collegamento In questo esempio gli indiri
303. va rete tra il router esterno e il firewall Cio possibile utilizzando la funzione Proxy ARP che consente di inserire il firewall tra il router esterno e le reti protette senza dover apportare delle modifiche a router o agli host esistenti Differenze e Larete extnet scomparsa Il firewall riceve l informazione che esiste solo un indirizzo IP connesso direttamente all adattatore di rete esterno il router esterno e Il percorso extnet sostituito da gw world 32 e La funzione Proxy ARP viene utilizzata per pubblicare gw world nel settore interno del firewall In questo modo i computer protetti non devono modificare il gateway predefinito nelle loro impostazioni di rete EnterNet FireWall 183 8 5 3 Esempio 3 DMZ Il modello di configurazione DMZ prende in esame su un firewall con tre interfacce Un interfaccia connessa al router esterno la seconda alla rete protetta cui sono collegati le workstation e i server interni La terza interfaccia connessa alla zona demilitarizzata DMZ DeMilitarized Zone gw world 194 1 2 1 extnet 194 1 2 0 24 ip_ext 194 1 2 2 a me ip_dmz 192 168 234 1 Ld ip_int 192 168 123 1 intnet 192 168 123 0 24 dmznet 192 168 234 0 24 wwwsrv priv mailsrv priv ftpsrv 192 168 234 x 192 168 234 x 194 1 2 3
304. versione 6 Standard attualmente non completamente sviluppato Sar in grado di supportare molti pi indirizzi di IPv4 che lo standard corrente Vedere Internet Protocol IPsec uno standard IP di crittografia e autenticazione della comunicazione o pi brevemente uno standard VPN La maggior parte dei produttori di computer e apparecchiature di rete ha scelto di supportare IPsec nei casi in cui viene richiesta la funzionalit VPN Vedere Internet Service Provider Azienda che offre connettivit ad Internet a utenti finali Le connessioni possono assumere qualunque forma dai modem standard alle connessioni via fibre ottiche ad elevata velocit Vedere Local Area Network Una rete LAN costituita da sistemi di computer collegati da hub e o switch Tutti i computer di una LAN possono comunicare tra loro senza passare per un router o un firewall e possono inviare messaggi Broadcast a tutti gli altri computer connessi Le LAN funzionano generalmente a velocit di 10 Mbps e 100 Mbps LAN utilizzate comunemente sono Ethernet e Token Ring Vedere Megabits per Second Media Adapter Card un altra definizione di scheda di interfaccia di rete Vedere anche NIC Vedere Metropolitan Area Network Glossario 303 Mail Forwarder Nei casi in cui un server di posta debba venire posto nella rete interna per offrire funzioni avanzate che non possono attraversare un firewall la pratica corrente di collocare un Mail Forw
305. wall Drops sec Numero medio di pacchetti scartati al secondo Eventi FWD Questo tipo di eventi viene generato se l auditing stata attivato da una regola FwdFast nella sezione Rules oppure da una regola Accept nella sezione Access Eventi CONN Questo tipo di eventi viene generato se l auditing stato attivato da una regola Allow o NAT nella sezione Rules Una volta stabilita la connessione viene generato un evento che include informazioni relative a protocollo interfaccia di ricezione indirizzo IP di origine porta di origine interfaccia di destinazione indirizzo IP di destinazione e porta di destinazione Un secondo evento viene generato alla chiusura della connessione Le informazioni incluse in questo evento sono le stesse presenti nell evento inviato all apertura alle quali si aggiungono per le statistiche relative al traffico inviato e ricevuto Se previsto dall impostazione LogConnections nella sezione Settings viene inoltre visualizzato il contenuto del pacchetto Questi eventi possono includere anche informazioni relative alla traduzione statica dell indirizzo Eventi DROP Questo tipo di eventi pu essere generato da varie funzioni del firewall La fonte principale probabilmente l insieme di regole Le informazioni incluse nell evento sono il nome della regola responsabile dell eliminazione del pacchetto e del suo contenuto Auditing da EnterNet Firewall DROP eventi LogOp
306. xit Consente di chiudere EnterNet FireWall Manager Non possibile chiudere l applicazione durante la modifica di una configurazione del firewall Firewall 7 23 Menu FireWall Conte New FiteWall Cet Delete Firewall Configure Edit Config Fil r a Save to Boot Media Consente di aprire la finestra di Create Boot Meda Load Key from Boot Media configurazione relativa al firewall Bonet Change FieWal Kes selezionato Dalla finestra di eee Download Configuration configurazione possibile controllare tutti gli aspetti del firewall dal tipo di scheda di rete agli indirizzi IP dell interfaccia e alle regole che gestiscono le operazioni di blocco Export Firewall Entry Consultare la sezione 7 3 Finestra di configurazioneDalla finestra di configurazione possibile controllare tutti gli aspetti del firewall New FireWall EnterNet FireWall Manager Consente di aprire la seguente finestra di dialogo per creare un nuovo firewall nel database di amministrazione New FireWall xi r Settings Status IP Address Create as Version Active C Inactive Template 192 168 123 1 6 00 00 7 Name Storage r Comment gu myorganisation Database r Copy configuration file lt None gt Default Proxy amp RP DMZ DMZ MailFwd DNS Creazione di un nuovo firewall nel database di amministrazione L indirizzo IP specif
307. y ARP non sono mai validi per le risposte ma le unit di rete che non sono ancora a conoscenza del proprio indirizzo IP eseguono talvolta delle richiese ad ARP con IP del mittente non specificato Impostazione predefinita DropLog ARPSenderIP Consente di determinare se l indirizzo IP del mittente soddisfa le regole della sezione Access Impostazione predefinita Validate UnsolicitedA RPReplies Consente di determinare in che modo il firewall gestir le risposte ARP che non sono state richieste In base alle specifiche ARP il destinatario le dovrebbe accettare Poich questo potrebbe comunque facilitare il dirottamento delle connessioni locali di regola non consentito Impostazione predefinita DropLog ARPRequests Consente di determinare se il firewall aggiunger automaticamente i dati nelle richieste ARP alla relativa tabella ARP Nelle specifiche ARP viene definito che l operazione dovrebbe essere eseguita ma poich la procedura pu facilitare il dirottamento delle connessioni locali di regola questa non consentita Anche se il parametro ARPRequests impostato su Drop vale a dire che il pacchetto viene scartato senza essere memorizzato il firewall attiver la risposta purch le altre regole approvino la richiesta Impostazione predefinita Drop EnterNet FireWall Manager ARPChanges Consente di determinare il comportamento del firewall nelle situazioni in cui una risposta o una richiesta ARP ricev
308. zionare ciascuna cella della colonna per visualizzare la finestra di dialogo relativa alla configurazione di entrambe le schede di rete L interfaccia int verr collegata alla rete interna ovvero quella protetta L interfaccia ext verr connessa alla rete esterna probabilmente al router collegato al provider di servizi Internet ISP NIC l acronimo di Network Interface Card In alcuni casi le schede di rete vengono denominate MAC Media Adapter Card Selezionare il driver corretto per la scheda di rete il bus appropriato PCI ISA o EISA e le impostazioni specifiche del bus per la scheda di rete Tali impostazioni sono state descritte nel paragrafo 6 4 3 I driver preceduti da un icona con una scheda di rete sono incorporati mentre quelli preceduti da icone con una finestra vuota sono di tipo ODI Generalmente i driver incorporati sono molto pi veloci di quelli ODI tuttavia al di sotto dei 50 Mbps molto difficile percepire la differenza di velocit Se il driver relativo alla propria scheda di rete non disponibile nell elenco selezionare Have disk per individuare il driver desiderato Questa versione di EnterNet FireWall utilizza i driver ODI a 16 bit di Novell Dopo aver inserito tutte le impostazioni scegliere OK per salvare la configurazione della scheda di rete selezionata Il testo contenuto nella colonna NIC Driver cambier per riflettere alcune delle impostazioni inserite nella finestra di dialo
309. zione E comunque possibile utilizzare solo indirizzi IP numerici in tutto il file di configurazione Operazioni preliminari E Configuration of gw myorganisation 192 168 123 1 Comments lipint_ 192 168 123 1 IP Address and Broadcast address of internal interface br_int 192 168 123 255 ip_ext 194 1 2 2 IP Address and Broadcast address of external interface 194 1 2 255 194 1 2 1 Address of world gateway on external network Host that receives log data from the firewall WWWwsr y priv 0 0 0 0 Web server on internal network private address a E0TE idee tenace uworv pub line Web server publicly accessible address used by SAT mailsry pub est Mail server publicly accessible address used by SAT ee Cancel Apply In questa sezione sar necessario cambiare ip_int nell indirizzo interno desiderato del firewall e br_int nell indirizzo broadcast della rete interna L indirizzo broadcast il pi alto della rete Nel caso di una rete di classe C maschera 255 255 255 0 tale indirizzo corrisponde a 255 Nel caso di una rete a 32 indirizzi esso equivale all indirizzo di rete 31 Ad esempio l indirizzo di rete 192 168 123 64 255 255 255 224 produce un indirizzo broadcast 192 168 123 95 Modificare ip_ext e br_ext nello stesso modo Cambiare gw world nell indirizzo IP del gateway predefinito posizionato all esterno del firewall Generalmente questo indirizzo viene fornito dal provider
310. zzi del mittente interni saranno tradotti in indirizzi del pubnet con una relazione 1 1 Inoltre se qualcuno prova a collegarsi all indirizzo pubblico del server Web l indirizzo di destinazione verr cambiato nel relativo indirizzo privato SAT Jint intnet wwwsrv pub 32 TCP ALL gt 80 85 SetDest intrasrv 80 SAT ANY all nets wwwsrv pub 32 TCP ALL gt 80 85 SetDest wwwsrv priv 1080 In questo esempio entrambe le regole sono impostate per tradurre l indirizzo di destinazione ma solo una di esse sar eseguita Se si tenta di comunicare internamente con l indirizzo pubblico del server Web la richiesta sar reindirizzata a un server intranet Tutti gli altri tentativi di comunicazione con l indirizzo pubblico del server Web verranno reindirizzati all indirizzo privato del server Web accessibile pubblicamente 152 EnterNet FireWall Notare che per funzionare correttamente le regole sopra citate devono soddisfare una regola Allow in un punto successivo del set di regole 8 1 6 Quali protocolli possono essere gestiti dalla funzione SAT In genere la traduzione statica dell indirizzo pu gestire tutti i protocolli che supportano tale funzione Infatti alcuni protocolli possono essere tradotti solo in casi specifici mentre altri non possono essere tradotti in alcun modo I protocolli che non possono essere tradotti mediante la funzione SAT sono probabilmente intraducibili anche medi
311. zzo della comunicazione ai server nella zona demilitarizzata dal momento che sono accessibili mediante indirizzi pubblici EnterNet FireWall 207 8 5 6 Esempio 6 DMZ Shared Extnet Il modello di configurazione DMZ Shared Extnet si basa sul modello DMZ Proxy ma parte dal presupposto che il firewall esterno sia condiviso con altri clienti o server e che solo alcuni indirizzi siano instradati ai server nella zona demilitarizzata Ci possibile utilizzando la funzione Proxy ARP che consente di inserire il firewall tra la rete esterna e le reti protette senza dover apportare delle modifiche a router o host nella zona demilitarizzata Gli host nella rete interna per dovranno essere riconfigurati per poter utilizzare la nuova estensione dell indirizzo privato IP Differenze e La sezione Routes presenta tre percorsi diversi verso la zona demilitarizzata una per ciascun server Tali percorsi vengono pubblicati mediante Proxy ARP nell interfaccia esterna In questo modo i server sono ancora accessibili pubblicamente e Jl percorso extnet viene pubblicato nella zona demilitarizzata per consentire agli host di tale zona di conservare la propria configurazione e La sezione Access contiene la regola per ciascun server pubblico nella zona demilitarizzata e La sezione Rules consente la comunicazione NetBIOS con ciascun server pubblico nella zona demilitarizzata mediante regole diverse per ciascun server 9 Auditing
Download Pdf Manuals
Related Search
Related Contents
Sony WM-EX621 User's Manual TrayDay User Manual Copyright © All rights reserved.
Failed to retrieve file